|
Thay đổi ngày |
Quyết định thay đổi |
|---|---|
|
Ngày 20 tháng 4 năm 2023 |
|
|
Ngày 8 tháng 8 năm 2023 |
|
|
Ngày 9 tháng 8 năm 2023 |
|
|
Ngày 9 tháng 4 năm 2024 |
|
|
Ngày 16 tháng 4 năm 2024 |
|
Tóm tắt
Bài viết này cung cấp hướng dẫn cho một lớp mới của silicon-based microarchitectural và lỗ hổng thực hiện suy đoán phía kênh ảnh hưởng đến nhiều bộ xử lý hiện đại và hệ điều hành. Các ứng dụng này bao gồm Intel, AMD và ARM. Thông tin chi tiết cụ thể cho các lỗ hổng dựa trên silicon này có thể được tìm thấy trong các ADV sau đây (Tư vấn Bảo mật) và CVEs (Lỗ hổng và Phơi sáng Phổ biến):
-
ADV180002 | Hướng dẫn để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh
-
ADV180012 | Hướng dẫn Microsoft cho Bỏ qua Cửa hàng Suy đoán
-
ADV180013 | Đọc Hướng dẫn Microsoft về Đăng ký Hệ thống Rogue
-
ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng
-
ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF
-
ADV190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc
-
ADV220002 | Hướng dẫn Microsoft về các lỗ hổng dữ liệu dập tắt của Bộ xử lý Intel MMIO
Quan trọng: Các sự cố này cũng ảnh hưởng đến các hệ điều hành khác, chẳng hạn như Android, Chrome, iOS và MacOS. Chúng tôi khuyên khách hàng nên tìm kiếm hướng dẫn từ các nhà cung cấp đó.
Chúng tôi đã phát hành một số bản cập nhật để giúp giảm thiểu các lỗ hổng này. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Xem các mục sau để biết thêm chi tiết.
Chúng tôi chưa nhận được bất kỳ thông tin nào cho biết rằng các lỗ hổng này đã được sử dụng để tấn công khách hàng. Chúng tôi đang làm việc chặt chẽ với các đối tác trong ngành bao gồm nhà sản xuất chip, OEM phần cứng và nhà cung cấp ứng dụng để bảo vệ khách hàng. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này bao gồm vi mã từ OEM thiết bị và trong một số trường hợp là các bản cập nhật cho phần mềm chống vi rút.
Lỗ hổng
Bài viết này khắc phục các lỗ hổng thực hiện suy đoán sau đây:
Windows Update cũng sẽ cung cấp các biện pháp giảm thiểu Internet Explorer và Edge. Chúng tôi sẽ tiếp tục cải thiện các biện pháp giảm thiểu này đối với loại lỗ hổng này.
Để tìm hiểu thêm về loại lỗ hổng này, hãy xem
Vào ngày 14 tháng 5 năm 2019, Intel đã công bố thông tin về một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Lấy mẫu dữ liệu Vi cấu trúc và được ghi ADV190013 | Lấy mẫu Dữ liệu Vi cấu trúc. Họ đã được gán các CVEs sau đây:
-
CVE-2019-11091 | Lấy mẫu Dữ liệu Vi cấu trúc sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Lấy mẫu dữ liệu bộ đệm điền vi cấu trúc (MFBDS)
-
CVE-2018-12130 | Lấy mẫu Dữ liệu Cổng Tải Vi cấu trúc (MLPDS)
Quan trọng: Các sự cố này sẽ ảnh hưởng đến các hệ thống khác như Android, Chrome, iOS và MacOS. Chúng tôi khuyên khách hàng nên tìm kiếm hướng dẫn từ các nhà cung cấp đó.
Microsoft đã phát hành các bản cập nhật để giúp giảm thiểu các lỗ hổng này. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này có thể bao gồm vi mã từ OEM của thiết bị. Trong một số trường hợp, việc cài đặt các bản cập nhật này sẽ có ảnh hưởng đến hiệu suất. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Chúng tôi đặc biệt khuyên bạn nên triển khai các bản cập nhật này.
Để biết thêm thông tin về sự cố này, hãy xem Tư vấn Bảo mật sau và sử dụng hướng dẫn dựa trên kịch bản để xác định các hành động cần thiết để giảm thiểu mối đe dọa:
-
ADV190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc
-
Hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Lưu ý: Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ Windows Update cài đặt bất kỳ bản cập nhật vi mã nào.
Vào ngày 6 tháng 8 năm 2019, Intel đã phát hành thông tin chi tiết về lỗ hổng tiết lộ thông tin nhân Windows. Lỗ hổng này là một biến thể của Spectre, Biến thể 1 lỗ hổng thực hiện suy đoán phía kênh và đã được gán CVE-2019-1125.
Chúng tôi đã phát hành các bản cập nhật bảo mật cho hệ điều hành Windows vào ngày 9 tháng 7 năm 2019 để giúp giảm thiểu sự cố này. Xin lưu ý rằng chúng tôi đã tổ chức lại ghi lại biện pháp giảm nhẹ này công khai cho đến khi ngành công bố phối hợp vào thứ Ba, ngày 6 tháng 8 năm 2019.
Những khách hàng đã bật Windows Update và đã áp dụng các bản cập nhật bảo mật được phát hành vào ngày 9 tháng 7 năm 2019 sẽ được bảo vệ tự động. Không cần phải cấu hình thêm.
Lưu ý: Lỗ hổng này không yêu cầu cập nhật vi mã từ nhà sản xuất thiết bị của bạn (OEM).
Để biết thêm thông tin về lỗ hổng này và các bản cập nhật hiện hành, hãy xem Hướng dẫn Cập nhật Bảo mật của Microsoft:
Vào ngày 12 tháng 11 năm 2019, Intel đã xuất bản một tư vấn kỹ thuật liên quan đến lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel® Transactional Synchronization Extensions (Intel TSX) được gán là CVE-2019-11135. Microsoft đã phát hành các bản cập nhật để giúp giảm thiểu lỗ hổng này và theo mặc định, các tùy chọn bảo vệ HĐH được bật cho Windows Server 2019 nhưng bị vô hiệu hóa cho Windows Server 2016 và các phiên bản HĐH Windows Server cũ hơn.
Vào ngày 14 tháng 6 năm 2022, chúng tôi đã xuất bản ADV220002 | Hướng dẫn Microsoft về Các lỗ hổng Dữ liệu Dập ghi MMIO của Bộ xử lý Intel và gán các CVEs sau:
Các hành động được đề xuất
Bạn nên thực hiện các hành động sau đây để giúp bảo vệ chống lại các lỗ hổng:
-
Áp dụng tất cả các bản cập nhật hệ điều hành Windows hiện có, bao gồm cả các bản cập nhật bảo mật Windows hàng tháng.
-
Áp dụng bản cập nhật vi chương trình (vi mã) hiện hành do nhà sản xuất thiết bị cung cấp.
-
Đánh giá rủi ro đối với môi trường của bạn dựa trên thông tin được cung cấp trên Tư vấn Bảo mật của Microsoft: ADV180002, ADV180012, ADV190013 và ADV220002, ngoài thông tin được cung cấp trong bài viết cơ sở tri thức này.
-
Hãy hành động theo yêu cầu bằng cách sử dụng thông tin tư vấn và khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.
Lưu ý: Khách hàng của Surface sẽ nhận được bản cập nhật vi mã thông qua Windows Update. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface mới nhất, hãy KB4073065.
Vào ngày 12 tháng 7 năm 2022, chúng tôi đã phát hành CVE-2022-23825 | Nhầm lẫn loại nhánh AMD CPU mô tả rằng biệt danh trong bộ dự đoán nhánh có thể khiến một số bộ xử lý AMD dự đoán sai loại nhánh. Sự cố này có thể dẫn đến tiết lộ thông tin.
Để giúp bảo vệ chống lại lỗ hổng này, chúng tôi khuyên bạn nên cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau tháng 7 năm 2022 và sau đó thực hiện hành động theo yêu cầu của CVE-2022-23825 và thông tin khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.
Để biết thêm thông tin, hãy xem bản tin bảo mật AMD-SB-1037 .
Vào ngày 8 tháng 8 năm 2023, chúng tôi đã phát hành CVE-2023-20569 | Return Address Predictor (còn được gọi là Inception) mô tả một cuộc tấn công kênh phía suy đoán mới có thể dẫn đến thực hiện suy đoán tại một địa chỉ do kẻ tấn công kiểm soát. Sự cố này ảnh hưởng đến một số bộ xử lý AMD nhất định và có thể dẫn đến tiết lộ thông tin.
Để giúp bảo vệ chống lại lỗ hổng này, chúng tôi khuyên bạn nên cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau tháng 8 năm 2023 và sau đó thực hiện hành động theo yêu cầu của CVE-2023-20569 và thông tin khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.
Để biết thêm thông tin, hãy xem bản tin bảo mật AMD-SB-7005 .
Vào ngày 9 tháng 4 năm 2024, chúng tôi đã phát hành CVE-2022-0001 | Intel Branch History Injection mô tả Branch History Injection (BHI) là một dạng BTI trong chế độ cụ thể. Lỗ hổng này xảy ra khi kẻ tấn công có thể thao tác lịch sử chi nhánh trước khi chuyển từ người dùng sang chế độ giám sát (hoặc từ VMX không gốc/khách sang chế độ gốc). Thao tác này có thể khiến một trình dự đoán nhánh gián tiếp chọn một mục dự đoán cụ thể cho một nhánh gián tiếp và một tiện ích tiết lộ tại mục tiêu được dự đoán sẽ thực thi tạm thời. Điều này có thể xảy ra vì lịch sử nhánh liên quan có thể chứa các nhánh được thực hiện trong các ngữ cảnh bảo mật trước đó và đặc biệt là các chế độ trình dự đoán khác.
Thiết đặt giảm nhẹ cho Windows Server và Azure Stack HCI
Tư vấn bảo mật (ADV) và CVE cung cấp thông tin cung cấp thông tin về rủi ro mà các lỗ hổng này gây ra. Chúng cũng giúp bạn xác định các lỗ hổng và xác định trạng thái mặc định của biện pháp giảm thiểu cho hệ thống Windows Server. Bảng dưới đây tóm tắt yêu cầu của vi mã CPU và trạng thái mặc định của các biện pháp giảm nhẹ trên Windows Server.
|
CVE |
Yêu cầu vi mã/vi chương trình CPU? |
Trạng thái Mặc định của Mitigation |
|---|---|---|
|
Không |
Được bật theo mặc định (không có tùy chọn nào để tắt) Vui lòng tham khảo ADV180002 để biết thêm thông tin |
|
|
Có |
Bị vô hiệu hóa theo mặc định. Vui lòng tham khảo ADV180002 thông tin bổ sung và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng. Lưu ý "Retpoline" được bật theo mặc định cho các thiết bị chạy Windows 10, phiên bản 1809 trở lên nếu Spectre Biến thể 2 (CVE-2017-5715) được bật. Để biết thêm thông tin về "Retpoline", hãy làm theo mục Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên bài đăng blog windows . |
|
|
Không |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Vui lòng tham khảo ADV180002 để biết thêm thông tin. |
|
|
Intel: Có AMD: Không |
Bị vô hiệu hóa theo mặc định. Hãy xem ADV180012 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Xem CVE-2019-11135 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
|
CVE-2022-21123 (một phần của MMIO ADV220002) |
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Xem CVE-2022-21123 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-21125 (một phần của MMIO ADV220002) |
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Xem CVE-2022-21125 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-21127 (một phần của MMIO ADV220002) |
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Xem CVE-2022-21127 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-21166 (một phần của MMIO ADV220002) |
Intel: Có |
Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. Xem CVE-2022-21166 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-23825 (Nhầm lẫn loại nhánh CPU AMD) |
AMD: Không |
Xem CVE-2022-23825 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành. |
|
CVE-2023-20569
|
AMD: Có |
Xem CVE-2023-20569 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành. |
|
Intel: Không |
Bị vô hiệu hóa theo mặc định Xem CVE-2022-0001 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
* Làm theo hướng dẫn giảm nhẹ cho Meltdown bên dưới.
Nếu bạn muốn có được tất cả các bảo vệ có sẵn chống lại các lỗ hổng, bạn phải thực hiện thay đổi khóa đăng ký để kích hoạt các biện pháp giảm nhẹ bị vô hiệu hóa theo mặc định.
Việc bật các biện pháp giảm nhẹ này có thể ảnh hưởng đến hiệu suất. Quy mô hiệu ứng hiệu suất phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong máy chủ vật lý của bạn và khối lượng công việc đang chạy. Chúng tôi khuyên bạn nên đánh giá hiệu ứng hiệu suất cho môi trường của mình và thực hiện bất kỳ điều chỉnh cần thiết nào.
Máy chủ của bạn đang gặp rủi ro cao hơn nếu máy chủ nằm trong một trong các danh mục sau đây:
-
Máy chủ Hyper-V: Yêu cầu bảo vệ cho các cuộc tấn công VM-to-VM và VM-to-host.
-
Máy chủ Dịch vụ Máy tính Từ xa (RDSH): Yêu cầu bảo vệ từ phiên này sang phiên khác hoặc khỏi các cuộc tấn công từ phiên này sang máy chủ khác.
-
Máy chủ vật lý hoặc máy ảo đang chạy mã không đáng tin cậy, chẳng hạn như bộ chứa hoặc phần mở rộng không đáng tin cậy cho cơ sở dữ liệu, nội dung web không đáng tin cậy hoặc khối lượng công việc chạy mã từ các nguồn bên ngoài. Những yêu cầu bảo vệ từ quá trình không đáng tin cậy-to-một quá trình hoặc cuộc tấn công không đáng tin cậy-process-to-kernel.
Sử dụng các thiết đặt khóa đăng ký sau đây để bật các biện pháp giảm nhẹ trên máy chủ và khởi động lại thiết bị để các thay đổi có hiệu lực.
Lưu ý: Theo mặc định, việc bật các biện pháp giảm nhẹ có thể ảnh hưởng đến hiệu suất. Hiệu ứng hiệu suất thực tế phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.
Cài đặt đăng ký
Chúng tôi đang cung cấp thông tin đăng ký sau để cho phép các biện pháp giảm nhẹ không được bật theo mặc định, như được ghi trong Tư vấn Bảo mật (ADV) và CVEs. Ngoài ra, chúng tôi cung cấp cài đặt khóa đăng ký cho người dùng muốn tắt các biện pháp giảm thiểu khi áp dụng cho máy khách Windows.
QUAN TRỌNG Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách thay đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn thay đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn thay đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:
KB322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
QUAN TRỌNGTheo mặc định, Retpoline được đặt cấu hình như sau nếu spectre, biện pháp giảm nhẹ Biến thể 2 (CVE-2017-5715) được bật:
- Retpoline mitigation is enabled on Windows 10, version 1809 and later Windows versions.
- Đã tắt tính năng giảm thiểu retpoline trên Windows Server 2019 trở lên.
Để biết thêm thông tin về cấu hình của Retpoline, hãy xem Mục Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows.
|
Lưu ý: Đặt FeatureSettingsOverrideMask thành 3 chính xác cho cả cài đặt "bật" và "tắt". (Xem phần "Câu hỏi thường gặp " để biết thêm chi tiết về khóa đăng ký.)
|
Để tắt Biến thể 2: (CVE-2017-5715 | Giảm thiểu Branch Target Injection: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. Để bật Biến thể 2: (CVE-2017-5715 | Giảm thiểu Branch Target Injection: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với CPU AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 ADV180002.
|
Bật bảo vệ người dùng sang nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. |
|
Để bật các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. Để tắt các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass) VÀ các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với bộ xử lý AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 ADV180002.
|
Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715 và các tùy chọn bảo vệ cho CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. |
|
Để bật các biện pháp giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] biến thể, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 và CVE-2022-21166) bao gồm Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] cũng như Lỗi Terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646] mà không tắt Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. Để bật các biện pháp giảm thiểu lỗ hổng Hủy bỏ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] biến thể, bao gồm Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] cũng như Lỗi Terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646] bị vô hiệu hóa Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. Để tắt các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi chính ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] biến thể, bao gồm Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] cũng như Lỗi Terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Để bật biện pháp giảm nhẹ cho CVE-2022-23825 trên bộ xử lý AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Để được bảo vệ đầy đủ, khách hàng cũng có thể cần tắt Hyper-Threading chủ đề (còn được gọi là Đa Luồng Đồng thời (SMT)). Vui lòng xem KB4073757 hướng dẫn về cách bảo vệ thiết bị Windows.
Để bật biện pháp giảm nhẹ cho CVE-2023-20569 trên bộ xử lý AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Để bật biện pháp giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Cho phép nhiều biện pháp giảm nhẹ
Để bật nhiều biện pháp giảm nhẹ, bạn phải thêm giá REG_DWORD của từng biện pháp giảm nhẹ lại với nhau.
Ví dụ:
|
Giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch, Lấy mẫu Dữ liệu Vi cấu trúc, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) và Lỗi Thiết bị đầu cuối L1 (L1TF) với Hyper-Threading bị vô hiệu hóa |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
NOTE 8264 (trong Thập phân) = 0x2048 (trong Hex) Để bật BHI cùng với các cài đặt hiện có khác, bạn sẽ cần sử dụng bitwise OR của giá trị hiện tại với 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 ở dạng thập phân) và sẽ trở thành 8.396.872(0x802048). Tương tự với FeatureSettingsOverrideMask. |
|
|
Giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Giảm nhẹ kết hợp |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch, Lấy mẫu Dữ liệu Vi cấu trúc, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) và Lỗi Thiết bị đầu cuối L1 (L1TF) với Hyper-Threading bị vô hiệu hóa |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Giảm nhẹ kết hợp |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Xác minh rằng các tùy chọn bảo vệ được bật
Để giúp xác minh rằng tính năng bảo vệ được bật, chúng tôi đã phát hành tập lệnh PowerShell mà bạn có thể chạy trên thiết bị của mình. Cài đặt và chạy tập lệnh bằng cách sử dụng một trong các phương pháp sau đây.
|
Cài đặt Mô-đun PowerShell: PS> Install-Module SpeculationControl Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Cài đặt mô-đun PowerShell từ Technet ScriptCenter:
Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ: Khởi động PowerShell, rồi sử dụng ví dụ trước đó để sao chép và chạy các lệnh sau đây: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Để được giải thích chi tiết về kết quả của tập lệnh PowerShell, hãy KB4074629 .
Câu hỏi thường gặp
Để giúp tránh gây ảnh hưởng bất lợi đến thiết bị của khách hàng, tất cả các bản cập nhật bảo mật Windows đã được phát hành vào tháng 1 và tháng 2 năm 2018 không được cung cấp cho tất cả khách hàng. Để biết chi tiết, hãy KB407269 .
Vi mã được cung cấp thông qua bản cập nhật vi chương trình. Tham khảo OEM của bạn về phiên bản vi chương trình có bản cập nhật thích hợp cho máy tính của bạn.
Có nhiều biến ảnh hưởng đến hiệu suất, từ phiên bản hệ thống đến khối lượng công việc đang chạy. Đối với một số hệ thống, hiệu ứng hiệu suất sẽ không đáng kể. Đối với những người khác, nó sẽ là đáng kể.
Chúng tôi khuyên bạn nên đánh giá hiệu ứng hiệu suất trên hệ thống của mình và thực hiện điều chỉnh nếu cần.
Ngoài các hướng dẫn có trong bài viết này về máy ảo, bạn nên liên hệ với nhà cung cấp dịch vụ của bạn để đảm bảo rằng các máy chủ đang chạy máy ảo của bạn được bảo vệ đầy đủ.
Đối với máy ảo Windows Server đang chạy trong Azure, hãy xem Hướng dẫn để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure . Để biết hướng dẫn về cách sử dụng Azure Update Management để giảm thiểu sự cố này trên máy ảo khách, hãy KB4077467.
Các bản cập nhật được phát hành cho hình ảnh bộ chứa Windows Server dành cho Windows Server 2016 và Windows 10, phiên bản 1709 bao gồm các biện pháp giảm thiểu cho bộ lỗ hổng này. Không cần cấu hình bổ sung.
Lưu ý Bạn vẫn phải đảm bảo rằng máy chủ mà những bộ chứa này đang chạy được cấu hình để cho phép các biện pháp giảm nhẹ thích hợp.
Không, thứ tự cài đặt không quan trọng.
Có, bạn phải khởi động lại sau khi cập nhật vi chương trình (vi mã) và sau khi cập nhật hệ thống một lần nữa.
Dưới đây là thông tin chi tiết về khóa đăng ký:
FeatureSettingsOverride thể hiện bitmap sẽ ghi đè thiết đặt mặc định và các điều khiển sẽ bị vô hiệu hóa. Bit 0 kiểm soát biện pháp giảm nhẹ tương ứng với CVE-2017-5715. Bit 1 kiểm soát biện pháp giảm nhẹ tương ứng với CVE-2017-5754. Các bit được đặt thành 0 để cho phép giảm nhẹ và 1 để tắt biện pháp giảm nhẹ.
FeatureSettingsOverrideMask đại diện cho một dấu hiệu bitmap được sử dụng cùng với FeatureSettingsOverride. Trong trường hợp này, chúng ta sử dụng giá trị 3 (được biểu thị là 11 trong hệ số nhị phân hoặc số cơ số 2) để chỉ ra hai bit đầu tiên tương ứng với các biện pháp giảm nhẹ có sẵn. Khóa đăng ký này được đặt thành 3 để bật hoặc tắt các biện pháp giảm nhẹ.
MinVmVersionForCpuBasedMitigations dành cho máy chủ Hyper-V. Khóa đăng ký này xác định phiên bản máy ảo tối thiểu được yêu cầu để bạn sử dụng các tính năng vi chương trình được cập nhật (CVE-2017-5715). Đặt phiên bản này thành 1.0 để bao gồm tất cả các phiên bản máy ảo. Lưu ý rằng giá trị đăng ký này sẽ bị bỏ qua (lành tính) trên các máy chủ không phải hyper-V. Để biết thêm chi tiết, hãy xem mục Bảo vệ máy ảo dành cho khách khỏi CVE-2017-5715 (branch target injection).
Có, sẽ không có tác dụng phụ nếu các cài đặt đăng ký này được áp dụng trước khi cài đặt các bản sửa lỗi liên quan đến tháng 1 năm 2018.
Xem mô tả chi tiết về đầu ra tập lệnh KB4074629: Tìm hiểu về đầu ra tập lệnh SpeculationControl PowerShell .
Có, đối với các máy chủ Windows Server 2016 Hyper-V chưa có bản cập nhật vi chương trình, chúng tôi đã phát hành hướng dẫn thay thế có thể giúp giảm thiểu máy ảo sang máy ảo hoặc máy ảo để lưu trữ các cuộc tấn công. Xem Các biện pháp bảo vệ thay thế cho Máy chủ Windows Server 2016 Hyper-V chống lại lỗ hổng thực hiện suy đoán phía kênh .
Các bản cập nhật dành riêng cho bảo mật không tích lũy. Tùy thuộc vào phiên bản hệ điều hành, bạn có thể cần cài đặt một số bản cập nhật bảo mật để được bảo vệ đầy đủ. Thông thường, khách hàng sẽ cần cài đặt các bản cập nhật tháng 1, tháng 2, tháng 3 và tháng 4 năm 2018. Các hệ thống có bộ xử lý AMD cần có bản cập nhật bổ sung như minh họa trong bảng sau đây:
|
Phiên bản Hệ Điều hành |
Bản cập nhật bảo mật |
|
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - Bản tổng hợp Hàng tháng |
|
KB4338824- Chỉ dành cho Bảo mật |
|
|
Windows 7 SP1, Windows Server 2008 R2 SP1 hoặc Windows Server 2008 R2 SP1 (Bản cài đặt Server Core) |
KB4284826 - Bản tổng hợp Hàng tháng |
|
KB4284867 - Chỉ Bảo mật |
|
|
Windows Server 2008 SP2 |
KB4340583 - Cập nhật Bảo mật |
Chúng tôi khuyên bạn nên cài đặt các bản cập nhật dành riêng cho Bảo mật theo thứ tự phát hành.
Lưu ý: Một phiên bản cũ hơn của Câu hỏi Thường Gặp này đã thông báo sai rằng bản cập nhật dành riêng cho Bảo mật Tháng Hai bao gồm các bản sửa lỗi bảo mật được phát hành vào tháng 1. Trong thực tế, nó không.
Không. Bản cập nhật bảo KB4078130 là một bản sửa lỗi cụ thể để ngăn chặn hành vi hệ thống không thể dự đoán, sự cố hiệu suất và khởi động lại không mong muốn sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật trên hệ điều hành máy khách Windows cho phép cả ba biện pháp giảm nhẹ. Trên hệ điều hành Windows Server, bạn vẫn phải bật các biện pháp giảm nhẹ sau khi thực hiện kiểm tra thích hợp. Để biết thêm thông tin, hãy KB4072698.
Sự cố này đã được khắc phục KB4093118.
Vào tháng 2 năm 2018 , Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel liên quan đến Spectre Biến thể 2 Spectre Biến thể 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 liệt kê các bài cơ sở tri thức cụ thể theo phiên bản Windows. Mỗi bài viết KB cụ thể đều chứa các bản cập nhật vi mã Intel có sẵn bằng CPU.
Vào ngày 11 tháng 1 năm 2018, Intel đã báo cáo sự cố trong vi mã được phát hành gần đây nhằm giải quyết Spectre biến thể 2 (CVE-2017-5715 | Branch Target Injection). Cụ thể, Intel lưu ý rằng vi mã này có thể gây ra "cao hơn dự kiến khởi động lại và hành vi hệ thống không thể đoán trước" và các kịch bản này có thể gây ra "mất dữ liệu hoặc hỏng." Kinh nghiệm của chúng tôi là tính không ổn định của hệ thống có thể gây mất dữ liệu hoặc hỏng trong một số trường hợp. Vào ngày 22 tháng 1, Intel khuyên khách hàng nên ngừng triển khai phiên bản vi mã hiện tại trên các bộ xử lý bị ảnh hưởng trong khi Intel thực hiện thử nghiệm bổ sung đối với giải pháp được cập nhật. Chúng tôi hiểu rằng Intel đang tiếp tục điều tra tác động tiềm tiềm của phiên bản vi mã hiện tại. Chúng tôi khuyến khích khách hàng thường xuyên xem lại hướng dẫn của họ để đưa ra quyết định.
Trong khi Intel kiểm tra, cập nhật và triển khai vi mã mới, chúng tôi đang cung cấp bản cập nhật ngoài dải ( OOB) KB4078130, giúp chỉ vô hiệu hóa ảnh hưởng của CVE-2017-5715. Trong thử nghiệm của chúng tôi, bản cập nhật này đã được tìm thấy để ngăn chặn các hành vi mô tả. Để biết danh sách đầy đủ các thiết bị, hãy xem hướng dẫn hiệu đính vi mã từ Intel. Bản cập nhật này bao gồm Windows 7 Gói Dịch vụ 1 (SP1), Windows 8.1 và tất cả các phiên bản của Windows 10, cả máy khách và máy chủ. Nếu bạn đang chạy một thiết bị bị ảnh hưởng, bản cập nhật này có thể được áp dụng bằng cách tải xuống từ trang web Danh mục Microsoft Update. Việc áp dụng tải trọng này đặc biệt vô hiệu hóa việc giảm nhẹ đối với CVE-2017-5715.
Kể từ thời điểm này, không có báo cáo đã biết nào cho thấy Spectre Biến thể 2 này (CVE-2017-5715 | Branch Target Injection) đã được sử dụng để tấn công khách hàng. Chúng tôi khuyên người dùng Windows nên bật lại biện pháp giảm thiểu ảnh hưởng của CVE-2017-5715 khi Intel báo cáo đã giải quyết được hành vi hệ thống không thể dự đoán này cho thiết bị của bạn.
Vào tháng 2 năm 2018, Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã được Intel xác thực có liên quan đến Spectre Biến thể 2 Spectre Biến thể 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 liệt kê các bài cơ sở tri thức cụ thể theo phiên bản Windows. Danh sách KBs có sẵn các bản cập nhật vi mã Intel bằng CPU.
Để biết thêm thông tin, hãy xem bài Cập nhật an ninh AMD và Sách trắng AMD: Hướng dẫn Kiến trúc liên quan đến Kiểm soát Nhánh Gián tiếp . Các bản cập nhật này có sẵn từ kênh vi chương trình OEM.
Chúng tôi đang cung cấp các bản cập nhật vi mã được Intel xác thực có liên quan đến Spectre Biến thể 2 (CVE-2017-5715 | Branch Target Injection). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).
Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục Microsoft Update nếu chưa được cài đặt trên thiết bị trước khi nâng cấp hệ thống. Vi mã Intel có sẵn thông qua Windows Update, Dịch vụ Cập nhật Windows Server (WSUS) hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy KB4100347.
Để biết thêm thông tin, hãy xem các tài nguyên sau:
Xem các phần "Hành động được đề xuất" và "Câu hỏi thường gặp " trong ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.
Để xác minh trạng thái của SSBD, tập lệnh Get-SpeculationControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của vi mã bộ xử lý, nếu có. Để biết thêm thông tin và để có được tập lệnh PowerShell, hãy KB4074629.
Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665 . Để biết thông tin về lỗ hổng này và các hành động được đề xuất, hãy xem tài liệu Tư vấn Bảo ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng .
Lưu ý Không có cài đặt cấu hình (sổ đăng ký) bắt buộc cho Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) đã được tiết lộ vào ngày 10 tháng 7 năm 2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS là thuộc cùng loại lỗ hổng như Bounds Check Bypass (Biến thể 1). Chúng tôi hiện chưa ghi nhận bất kỳ trường hợp nào của BCBS trong phần mềm của mình. Tuy nhiên, chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành các biện pháp giảm nhẹ theo yêu cầu. Chúng tôi khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tiền thưởng Của Microsoft Speculative Execution Side Channel, bao gồm mọi trường hợp khai thác được của BCBS. Nhà phát triển phần mềm nên xem lại hướng dẫn nhà phát triển đã được cập nhật cho BCBS tại C++ Hướng dẫn Nhà phát triển cho Kênh Bên Thực hiện Suy đoán
Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF) đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và nếu khai thác, có thể dẫn đến tiết lộ thông tin. Có nhiều véc-tơ mà kẻ tấn công có thể kích hoạt các lỗ hổng, tùy thuộc vào môi trường cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.
Để biết thêm thông tin về lỗ hổng này và một cái nhìn chi tiết của kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF, hãy xem các tài nguyên sau đây:
Các bước để vô hiệu hóa Hyper-Threading khác với OEM oem nhưng thường là một phần của BIOS hoặc thiết lập vi chương trình và các công cụ cấu hình.
Khách hàng sử dụng bộ xử lý ARM 64 bit nên liên hệ với OEM thiết bị để được hỗ trợ vi chương trình vì các tùy chọn bảo vệ hệ điều hành ARM64 giúp giảm thiểu CVE-2017-5715 | Branch target injection (Spectre, Variant 2) yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị có hiệu lực.
Để biết thêm thông tin, hãy tham khảo các tư vấn bảo mật sau
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Vui lòng tham khảo hướng dẫn trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Để biết hướng dẫn Azure, vui lòng tham khảo bài viết này: Hướng dẫn giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure.
Để biết thêm thông tin về việc bật Retpoline, hãy tham khảo bài đăng blog của chúng tôi: Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows .
Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn Bảo mật của Microsoft: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.
Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.
Ngay sau khi chúng tôi biết về sự cố này, chúng tôi đã làm việc nhanh chóng để giải quyết sự cố đó và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào mối quan hệ đối tác chặt đẹp với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ Ba, ngày 6 tháng 8, phù hợp với các thực hành tiết lộ lỗ hổng phối hợp.
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh.
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh.
Bạn có thể tìm thấy hướng dẫn thêm trong mục Hướng dẫn để tắt tính năng Intel Transactional Synchronization Extensions (Intel TSX).
Tham khảo
Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.
Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.
