Hướng dẫn KB4073225-SQL Server để bảo vệ chống lại Spectre, khủng hoảng và các lỗ hổng lấy mẫu dữ liệu vi-kiến trúc

Tóm tắt

Microsoft là nhận thức được một lớp các lỗ hổng đã tiết lộ công khai mới được gọi là "tấn công kênh cạnh thực thi" có ảnh hưởng đến nhiều bộ xử lý và hệ điều hành hiện đại. Điều này bao gồm Intel, AMD và ARM. Lưu ý Vấn đề này cũng ảnh hưởng đến các hệ thống khác, chẳng hạn như Android, Chrome, iOS và MacOS. Vì vậy, chúng tôi khuyên khách hàng tìm kiếm hướng dẫn từ những nhà cung cấp đó.

Microsoft đã phát hành một số bản Cập Nhật để giúp giảm thiểu những lỗ hổng này. Chúng tôi cũng thực hiện hành động để bảo đảm các dịch vụ điện toán đám mây của chúng tôi. Xem các phần sau đây để biết thêm thông tin.

Microsoft không nhận được bất kỳ thông tin nào để cho biết những lỗ hổng này đã được sử dụng để tấn công khách hàng tại thời điểm này. Microsoft tiếp tục làm việc chặt chẽ với các đối tác ngành, bao gồm các nhà sản xuất chip, người dùng phần cứng và nhà cung cấp ứng dụng, để bảo vệ khách hàng. Để có được tất cả các bản Cập Nhật bảo vệ, phần cứng hoặc phần mềm và phần mềm được yêu cầu. Điều này bao gồm mã vi từ thiết bị OEMs và, trong một số trường hợp, các bản cập nhật phần mềm chống vi-rút. Để biết thêm thông tin về các lỗ hổng, hãy xem mục các vấn đề về bảo mật của Microsoft ADV180002. Để được hướng dẫn chung để giảm thiểu lớp tổn thương này, hãy xem hướng dẫn về các lỗ hổng cạnh thực thi suy giảm trong kênh

Microsoft đã phát hành ADV190013-Microsoft hướng dẫn để giảm bớt các lỗ hổng lấy mẫu dữ liệu vi kiến trúc trong tháng năm 2019. SQL Server không có bất kỳ bản vá lỗi bảo mật cụ thể nào cho sự cố được mô tả trong ADV190013. Bạn có thể tìm thấy hướng dẫn cho môi trường bị ảnh hưởng bởi ADV190013 trong phần đề xuất của bài viết này. Xin lưu ý rằng chỉ những tư vấn này áp dụng cho bộ xử lý Intel.

Cách tải và cài đặt bản Cập Nhật

Bản cập nhật này cũng sẵn dùng thông qua dịch vụ Windows Server Update (WSUS) hoặc Website của Microsoft Update Catalog.Lưu ý: bản cập nhật này sẽ không được tải xuống và cài đặt tự động thông qua Windows Update.

Các phiên bản SQL Server được hỗ trợ bị ảnh hưởng

Microsoft đề xuất rằng tất cả khách hàng cài đặt bản Cập Nhật SQL Server (được liệt kê bên dưới) như là một phần của chu kỳ vá thường xuyên của chúng.  Khách hàng chạy SQL Server trong một môi trường an toàn, nơi mở rộng các điểm được chặn và tất cả mã của bên thứ ba đang chạy trên cùng một máy chủ được tin cậy và được phê duyệt sẽ không bị ảnh hưởng bởi sự cố này.

Các phiên bản SQL Server sau đây có sẵn có bản Cập Nhật khi họ chạy trên hệ thống bộ xử lý x86 và x64:

• SQL Server 2008

• SQL Server 2008R2

• SQL Server 2012

• SQL Server 2014

• SQL Server 2016

• SQL Server 2017

Chúng tôi không tin rằng IA64 (Microsoft SQL Server 2008) bị ảnh hưởng. Dịch vụ Platform phân tích Microsoft (APS) dựa trên Microsoft SQL Server 2014 hoặc Microsoft SQL Server 2016, nhưng nó không bị ảnh hưởng cụ thể. Một số hướng dẫn chung cho APS được liệt kê ở phần sau trong bài viết này.

Gợi

Bảng sau đây phác thảo những gì khách hàng nên thực hiện, tùy thuộc vào môi trường mà SQL Server đang chạy và các chức năng đang được sử dụng. Microsoft khuyên bạn nên triển khai các bản sửa lỗi bằng cách sử dụng các thủ tục thông thường để kiểm tra các nhị phân mới trước khi bạn triển khai chúng để tạo môi trường sản xuất.

Tư vấn hiệu suất

Khách hàng được khuyên nên đánh giá hiệu suất ứng dụng cụ thể của họ khi họ áp dụng các bản Cập Nhật.

Microsoft khuyên tất cả khách hàng để cài đặt các phiên bản Cập Nhật của SQL Server và Windows. Điều này cần có hiệu lực hiệu suất tối thiểu so với các ứng dụng hiện có, dựa trên Microsoft thử nghiệm SQL tải về. Tuy nhiên, chúng tôi khuyên bạn nên kiểm tra tất cả các bản Cập Nhật trước khi triển khai chúng thành môi trường sản xuất.

Microsoft đã đo hiệu ứng của các shadowing địa chỉ ảo của hạt nhân (KVAS), nhóm trang hạt nhân indirection (KPTI) và giảm nhẹ dự đoán chi nhánh gián tiếp (IBP) trên các công việc SQL khác nhau trong nhiều môi trường và tìm thấy một số công việc với sự suy thoái đáng kể. Chúng tôi khuyên bạn nên kiểm tra hiệu ứng hiệu suất của việc bật các tính năng này trước khi triển khai chúng trong môi trường sản xuất. Nếu hiệu ứng hiệu suất của việc bật các tính năng này quá cao đối với một ứng dụng hiện có, bạn có thể cân nhắc việc trình tự phân tách SQL Server từ mã không đáng tin cậy đang chạy trên cùng một máy tính giảm nhẹ hơn cho ứng dụng của bạn.

Thông tin thêm về hiệu ứng hiệu suất từ dự báo chi nhánh gián tiếp giảm nhẹ hỗ trợ phần cứng (IBP) là chi tiết ở đây.

Microsoft sẽ cập nhật phần này với thông tin thêm khi sẵn dùng.

Bật tính năng khắc phục địa chỉ ảo (KVAS trong Windows) và bảng theo hướng trang hạt nhân (KPTI trên Linux)

KVAS và KPTI không làm giảm nhẹ đối với CPC 2017-5754, còn được gọi là "Meltdown" hoặc "biến thể 3" trong phần tiết lộ GPZ.

SQL Server được chạy trên nhiều môi trường: máy tính cơ thể, VMs trong môi trường đám mây công cộng và riêng tư, trên hệ thống Linux và Windows. Bất kể môi trường, chương trình đang chạy trên một máy tính hoặc VM. Gọi đây là ranh giớibảo mật.

Nếu tất cả mã trong đường biên đều có quyền truy nhập vào tất cả dữ liệu trong ranh giới đó, bạn sẽ không cần phải có hành động nào. Nếu đây không phải là trường hợp, giới hạn sẽ được cho là nhiều đối tượng thuê. Các lỗ hổng đã phát hiện có thể cho bất kỳ mã nào, ngay cả với các quyền giảm, chạy trong bất kỳ quá trình nào trong ranh giới đó, để đọc bất kỳ dữ liệu nào khác trong ranh giới đó. Nếu có bất kỳ quy trình nào trong hàm vẫn chạy mã không đáng tin cậy , nó có thể sử dụng các lỗ hổng này để đọc dữ liệu từ các quy trình khác. Mã không đáng tin cậy này có thể là mã không được tin cậy bằng cách dùng các cơ chế mở rộng SQL Server hoặc các quy trình khác trong ranh giới đang chạy mã không đáng tin cậy.

Để bảo vệ chống lại mã không được tin cậy trong ranh giới đa đối tượng thuê, hãy sử dụng một trong các phương pháp sau đây

• Loại bỏ mã không đáng tin cậy. Để biết thêm thông tin về cách thực hiện điều này cho các cơ chế mở rộng SQL Server, hãy xem mục bên dưới. Để loại bỏ mã không đáng tin cậy khỏi các ứng dụng khác trong cùng một giới hạn, các thay đổi dành riêng cho ứng dụng thường được yêu cầu. Ví dụ, tách thành hai VMs.

• Bật KVAS hoặc KPTI. Thao tác này sẽ có hiệu lực hiệu suất. Để biết thêm thông tin, như được mô tả trước đó trong bài viết này.

Để biết thêm thông tin về cách bật KVAS cho Windows, hãy xem KB4072698. Để biết thêm thông tin về cách bật KPTI trên Linux, hãy tham khảo ý kiến với nhà phân phối hệ điều hành của bạn.

Ví dụ về một kịch bản trong đó KVAS hoặc KPTI được đề xuất đặc biệt

Máy tính vật lý tại cơ sở có lưu trữ SQL Server là tài khoản người quản trị hệ thống không cho phép khách hàng gửi các kịch bản tùy ý R để chạy qua SQL Server (sử dụng các quy trình phụ để chạy các tập lệnh này bên ngoài sqlservr. exe). Nó là cần thiết để bật KVAS và KPTI cả hai để bảo vệ chống lại dữ liệu trong quá trình sqlservr. exe và để bảo vệ chống lại dữ liệu trong bộ nhớ hạt nhân hệ thống. Lưu ý Một cơ chế mở rộng trong SQL Server không tự động được coi là không an toàn vì nó đang được sử dụng. Những cơ chế này có thể được sử dụng an toàn trong SQL Server miễn là mỗi phụ thuộc được hiểu và tin cậy bởi khách hàng. Ngoài ra, có những sản phẩm khác được xây dựng trên đầu SQL có thể yêu cầu các cơ chế mở rộng để hoạt động chính xác. Ví dụ, một ứng dụng được đóng gói được xây dựng trên máy chủ SQL có thể yêu cầu một máy chủ được liên kết hoặc thủ tục được lưu trữ để có thể hoạt động đúng. Microsoft không khuyên bạn nên loại bỏ những điều này như là một phần của việc giảm nhẹ. Thay vào đó, hãy xem lại từng sử dụng để xác định xem mã này có được hiểu và tin cậy là hành động ban đầu hay không. Hướng dẫn này được cung cấp nhằm giúp khách hàng xác định xem có phải là một tình huống nào mà họ phải bật KVAS hay không. Điều này là do hành động này có các ý nghĩa hiệu suất đáng kể.

Cho phép giảm nhẹ các chi nhánh dự đoán gián tiếp (IBP) hỗ trợ phần cứng

IBP không bị giảm nhẹ chống lại 2017-5715, còn được gọi là một nửa số Spectre hoặc "biến thể 2" trong phần tiết lộ GPZ.

Các hướng dẫn trong bài viết này để cho phép KVAS trên Windows cũng cho phép IBP. Tuy nhiên, IBP cũng yêu cầu một bản cập nhật phần vững từ nhà sản xuất phần cứng của bạn. Ngoài các hướng dẫn trong KB4072698 để cho phép bảo vệ trong Windows, khách hàng phải có được và cài đặt các bản Cập Nhật từ nhà sản xuất phần cứng của họ.

Ví dụ về một kịch bản trong đó IBP được đề xuất mạnh mẽ

Máy tính vật lý tại cơ sở đang lưu trữ SQL Server cùng với một ứng dụng cho phép người dùng không tin cậy tải lên và thực hiện mã JavaScript tùy chọn. Giả định rằng có sự bảo mật dữ liệu trong cơ sở dữ liệu SQL, IBP được khuyên dùng như một thước đo để bảo vệ chống lại quy trình tiết lộ thông tin.

Trong những tình huống mà công cụ hỗ trợ phần cứng của IBP không hiện diện, Microsoft khuyên bạn nên tách các quy trình không đáng tin cậy và quy trình tin cậy vào các máy tính hoặc máy ảo khác nhau.

Người dùng Linux: liên hệ với nhà phân phối hệ điều hành của bạn để biết thông tin về cách bảo vệ chống lại biến _ 2 (CPC 2017-5715).

Ví dụ về một tình huống giảm nhẹ đối với các lỗ hổng lấy mẫu dữ liệu vi kiến trúc được khuyên dùng

Hãy xem xét một ví dụ mà máy chủ tại chỗ đang chạy hai phiên bản của SQL Server lưu trữ hai ứng dụng kinh doanh khác nhau trên hai máy ảo khác nhau trên cùng một máy chủ vật lý. Giả định rằng hai ứng dụng kinh doanh này không thể đọc dữ liệu được lưu trữ trên các phiên bản SQL Server. Người bị tấn công việc khai thác những lỗ hổng này đều có thể đọc dữ liệu đặc quyền trên các ranh giới tin cậy bằng cách dùng mã không đáng tin cậy đang chạy trên máy tính với quy trình riêng biệt hoặc mã không được tin cậy được thực hiện bằng cách dùng cơ chế mở rộng SQL Server (xem phần dưới đây cho các tùy chọn mở rộng trong SQL Server). Trong môi trường tài nguyên chia sẻ (chẳng hạn như tồn tại trong một số cấu hình dịch vụ điện toán đám mây), những lỗ hổng này có thể cho phép một máy ảo để truy nhập thông tin không đúng cách từ khác. Trong kịch bản không duyệt trên các hệ thống độc lập, kẻ tấn công sẽ cần truy nhập trước cho hệ thống hoặc khả năng chạy ứng dụng đặc biệt crafted trên hệ thống đích để tận dụng các lỗ hổng này.

Cơ chế mở rộng SQL Server không tin cậy

SQL Server chứa nhiều tính năng và cơ chế mở rộng. Hầu hết các cơ chế này đều bị vô hiệu hóa theo mặc định. Tuy nhiên, chúng tôi khuyên khách hàng xem xét từng phiên bản sản xuất cho việc sử dụng tính năng mở rộng. Chúng tôi khuyên bạn nên mỗi tính năng này được giới hạn đối với tập hợp tối thiểu của các nhị phân và khách hàng hạn chế quyền truy nhập để ngăn không cho mã tùy chọn chạy trên cùng một máy tính với SQL Server. Chúng tôi khuyên khách hàng xác định có tin cậy cho từng nhị phân và vô hiệu hóa hoặc loại bỏ các chương trình không đáng tin cậy.

• Hội đồng SQL CLR

• Các gói R và Python chạy thông qua cơ chế kịch bản bên ngoài hoặc chạy từ phòng tập độc lập R/Machine trên cùng một máy tính vật lý như SQL Server

• Các điểm mở rộng của SQL Agent đang chạy trên cùng một máy tính vật lý như SQL Server (script ActiveX)

• Các nhà cung cấp không phải của Microsoft OLE DB dùng trong máy chủ được liên kết

• Thủ tục được lưu trữ mở rộng không phải của Microsoft

• Đối tượng COM được thực thi bên trong máy chủ (được truy nhập thông qua sp_OACreate)

• Các chương trình được thực thi thông qua xp_cmdshell

Giảm nhẹ để thực hiện nếu sử dụng mã không đáng tin cậy trong SQL Server: