Tóm tắt
Microsoft đã biết một tầng lớp mới tiết lộ công khai các lỗ hổng được gọi là "suy thực thi bên kênh tấn công." Lỗ hổng này ảnh hưởng đến nhiều bộ xử lý hiện đại và hệ điều hành. Điều này bao gồm chipset Intel, AMD, và ARM.
Chúng tôi đã không được nhận bất kỳ thông tin nào để cho biết rằng các lỗ hổng đã được sử dụng để tấn công khách hàng. Chúng tôi tiếp tục làm việc chặt chẽ với đối tác trong ngành để bảo vệ khách hàng. Điều này bao gồm các nhà sản xuất chip, phần cứng OEM và nhà cung cấp ứng dụng. Để có được tất cả bảo vệ có sẵn, bản cập nhật phần cứng hoặc phần mềm và phần mềm được yêu cầu. Điều này bao gồm vi từ thiết bị OEM, và trong một số trường hợp, Cập nhật phần mềm chống vi-rút. Chúng tôi đã phát hành một số bản Cập Nhật để giúp giảm thiểu các điểm yếu. Thông tin về các lỗ hổng có thể được tìm thấy trong Microsoft ADV180002 tư vấn bảo mật. Hướng dẫn chung, cũng xem hướng dẫn vê suy thực thi bên kênh lỗ hổng. Chúng tôi cũng đã thực hiện hành động để giúp bảo vệ các dịch vụ đám mây. Xem các phần sau đây để biết thêm chi tiết.
Phiên bản Exchange Server bị ảnh hưởng
Do các cuộc tấn công của phần cứng cấp nhắm mục tiêu xử lý dựa trên x86 và x64 dựa trên hệ thống, tất cả các phiên bản được hỗ trợ của Microsoft Exchange Server bị ảnh hưởng bởi sự cố này.
Khuyến nghị
Bảng sau mô tả các hành động được khuyến nghị cho Exchange Server khách hàng. Không có bản cập nhật Exchange cụ thể được yêu cầu hiện có. Tuy nhiên, chúng tôi khuyên bạn nên khách hàng luôn chạy Exchange Server lũy mới nhất và bất kỳ bản Cập Nhật bảo mật cần thiết. Chúng tôi khuyên bạn triển khai khắc phục bằng cách sử dụng quy trình ususal của bạn để xác nhận những chương trình mới trước khi bạn triển khai môi trường sản xuất.
|
Kịch bản |
Mô tả |
Khuyến nghị |
|
1 |
Exchange Server đang chạy trên kim loại trống (không có máy ảo) và nào khác không đáng tin cậy logic ứng dụng (ứng dụng lớp) chạy trên cùng một máy kim loại trống.
|
Áp dụng hệ thống và cập nhật Exchange Server sau khi kiểm tra xác nhận tiền sản xuất bình thường. Cho phép địa chỉ ảo lõi theo dõi (KVAS) không bắt buộc (xem phần liên quan sau trong bài viết này). |
|
2 |
Exchange Server đang chạy trên máy ảo trong một môi trường lưu trữ chung (đám mây). |
Cho Azure: Microsoft đã gửi thông tin chi tiết về những nỗ lực giảm thiểu cho Azure (xem KB 4073235 thông tin chi tiết). Đối với các nhà cung cấp đám mây: tham khảo hướng dẫn. Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật hệ điều hành trên máy khách ảo (VM). Tham khảo các hướng dẫn sau trong bài viết này về việc kích hoạt KVAS. |
|
3 |
Exchange Server đang chạy trên máy ảo trong một môi trường lưu trữ riêng. |
Tham khảo tài liệu bảo mật hypervisor bảo mật thực tiễn tốt nhất. Xem KB 4072698 cho Windows Server và Hyper-V. Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật hệ điều hành trên máy khách VM. Tham khảo các hướng dẫn trong bài viết này về việc kích hoạt KVAS. |
|
4 |
Exchange Server chạy thực hoặc máy ảo và không được cách ly khỏi logic ứng dụng khác đang chạy trên cùng một hệ thống.
|
Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật hệ điều hành. Tham khảo hướng dẫn sau trong bài viết bài viết về việc kích hoạt KVAS. |
Hoạt động tư vấn
Chúng tôi khuyên tất cả khách đánh giá hiệu suất của môi trường cụ thể của bạn khi bạn áp dụng bản Cập Nhật.
Giải pháp được cung cấp bởi Microsoft cho loại lỗ hổng được thảo luận tại đây sẽ sử dụng phần mềm dựa trên cơ chế bảo vệ chống lại qua quá trình truy cập dữ liệu. Chúng tôi khuyên tất cả các khách hàng cài đặt phiên bản cập nhật Exchange Server và Windows. Điều này sẽ có hiệu quả hoạt động tối thiểu, dựa trên Microsoft kiểm tra Exchange luồng công việc.
Chúng tôi đã đo được ảnh hưởng của lõi ảo địa chỉ theo dõi (KVAS) các luồng công việc. Chúng tôi đã tìm thấy một số luồng công việc kinh nghiệm giảm đáng kể hiệu suất. Máy chủ Exchange là một trong những khối lượng công việc có thể gặp phải giảm đáng kể nếu KVAS được kích hoạt. Máy chủ được sử dụng CPU cao hoặc cao I/O sử dụng mô hình sẽ hiển thị ảnh lớn. Chúng tôi khuyên bạn đầu tiên đánh giá hiệu quả hoạt động của kích hoạt KVAS chạy thử nghiệm trong phòng thí nghiệm thể hiện nhu cầu sản phẩm của bạn trước khi bạn triển khai vào môi trường sản xuất. Nếu hiệu quả hoạt động của kích hoạt KVAS quá nhiều, xem xét xem isolating Exchange Server mã không đáng tin cậy chạy trên cùng một hệ thống giảm thiểu tốt hơn cho các ứng dụng.
Ngoài KVAS, thông tin về hoạt động có hiệu lực từ nhánh đích tiêm thiểu hỗ trợ phần cứng (IBC) được chi tiết ở đây. Máy chủ đang chạy Exchange Server và có giải pháp IBC triển khai nó có thể bị giảm đáng kể hiệu suất nếu IBC được kích hoạt.
Chúng tôi dự đoán rằng nhà cung cấp phần cứng sẽ cung cấp bản Cập Nhật cho sản phẩm của mình dưới dạng bản Cập Nhật vi. Kinh nghiệm với Exchange chỉ vi bản Cập Nhật sẽ tăng giảm hiệu suất. Phạm vi mà điều này xảy ra là rất phụ thuộc vào các cấu phần và thiết kế hệ thống mà chúng được áp dụng. Chúng tôi tin rằng không có giải pháp, xem phần mềm hoặc phần cứng dựa trên, đầy đủ địa chỉ loại lỗ hổng bảo mật một mình. Chúng tôi khuyên bạn nên đánh giá hiệu suất của tất cả các bản Cập Nhật vào tài khoản để thay đổi thiết kế hệ thống và hiệu năng trước khi đưa vào sản xuất. Nhóm Exchange không có kế hoạch để cập nhật máy tính kích thước khách hàng sử dụng để giải thích cho sự khác biệt hiệu suất hiện. Tính toán cung cấp công cụ này sẽ đưa vào tài khoản bất kỳ thay đổi trong hoạt động liên quan đến bản sửa lỗi cho các vấn đề. Chúng tôi sẽ tiếp tục đánh giá công cụ này và điều chỉnh chúng tôi tin rằng có thể được yêu cầu, dựa trên sử dụng riêng của chúng tôi và khách hàng.
Chúng tôi sẽ cập nhật này phần thông tin có sẵn.
Cho phép địa chỉ ảo lõi bóng
Exchange Server đang chạy trong môi trường nhiều, bao gồm hệ thống vật lý máy ảo trong môi trường đám mây công cộng và riêng tư, và hệ điều hành Windows. Bất kể môi trường, chương trình được đặt trên một hệ thống vật lý hoặc một máy ảo. Môi trường này, cho dù vật lý hoặc ảo, được gọi là an ninh biên giới.
Nếu tất cả các mã trong ranh giới có quyền truy cập vào tất cả dữ liệu trong đó ranh giới, không phải. Nếu đây không phải là trường hợp, ranh giới được gọi là nhiều người thuê. Lỗ hổng được tìm thấy thì có thể cho bất kỳ mã đang chạy ở bất kỳ quá trình trong đó ranh giới đọc bất kỳ dữ liệu nào khác trong đó ranh giới. Điều này đúng ngay cả trong quyền giảm. Nếu bất kỳ quá trình ranh giới đang chạy mã không đáng tin cậy , quá trình đó có thể sử dụng các điểm yếu để đọc dữ liệu từ các quá trình khác.
Để bảo vệ chống lại mã không đáng tin cậy trong ranh giới nhiều người thuê, thực hiện một trong hai cách sau:
-
Loại bỏ mã không đáng tin cậy.
-
Bật KVAS để bảo vệ chống lại quá trình, quá trình đọc. Điều này sẽ có hiệu quả hoạt động. Xem các phần trước trong bài viết này để biết thông tin chi tiết.
Để biết thêm thông tin về cách kích hoạt KVAS dành cho Windows, hãy xem KB 4072698.
Ví dụ tình huống (KVAS mạnh mẽ được khuyến nghị)
Tình huống 1
Một máy ảo Azure chạy dịch vụ mà người dùng không tin cậy có thể gửi mã là do có giới hạn cho phép. Trên cùng một máy ảo, Exchange Server đang chạy và quản lý dữ liệu không phải là cho những người dùng không đáng tin cậy. Trong trường hợp này, KVAS là cần thiết để bảo vệ chống lại tiết lộ giữa hai thực thể.
Tình huống 2
Một hệ thống vật lý trên cơ sở tổ chức Exchange Server có thể chạy tập lệnh không đáng tin cậy của bên thứ ba hoặc thực thi. Nó là cần thiết để cho phép KVAS để bảo vệ công bố dữ liệu Exchange script thực thi.
Chú ý Chỉ vì một cơ chế mở rộng trong Exchange Server đang được sử dụng, mà không tự động làm cho nó không an toàn. Cơ chế này có thể sử dụng một cách an toàn trong Exchange Server mỗi phụ thuộc được hiểu và tin cậy. Ngoài ra, còn có các sản phẩm khác được xây dựng trên máy chủ Exchange có thể yêu cầu khả năng mở rộng cơ chế hoạt động bình thường. Thay vào đó, là hành động đầu tiên của bạn, kiểm tra mỗi lần sử dụng để xác định xem các mã được hiểu và tin cậy. Hướng dẫn này được cung cấp để giúp khách hàng xác định xem họ có cho phép KVAS do tác động hiệu suất lớn.
Cho phép chi nhánh đích tiêm thiểu (IBC) hỗ trợ phần cứng
IBC mitigates chống lại CVE 2017-5715, còn được gọi là một nửa bóng ma hay "Phiên bản 2" trong bố GPZ.
Các hướng dẫn cho phép KVAS trên Windows cũng có thể bật IBC. Tuy nhiên, IBC cũng yêu cầu bản cập nhật phần mềm từ nhà sản xuất phần cứng của bạn. Bên cạnh hướng dẫn trong KB 4072698 bật bảo vệ Windows, khách hàng phải tải xuống và cài đặt bản Cập Nhật từ nhà sản xuất phần cứng.
Ví dụ tình huống (IBC đặc biệt khuyến nghị)
Tình huống 1
Chỗ vật lý hệ lưu trữ Exchange Server, người dùng không đáng tin cậy được phép tải lên và chạy bất kỳ mã. Trong trường hợp này, chúng tôi khuyên IBC để bảo vệ chống lại quá trình xử lý thông tin công bố.
Trong tình huống trong đó IBC hỗ trợ phần cứng không có, chúng tôi khuyên bạn tách quy trình không đáng tin cậy và đáng tin cậy trình vào vật lý khác hoặc các máy ảo.
Cơ chế mở rộng không đáng tin cậy Exchange Server
Exchange Server bao gồm các tính năng mở rộng và cơ chế. Số này dựa trên API cho phép mã không đáng tin cậy để chạy trên máy chủ đang chạy Exchange Server. Tác nhân truyền tải Exchange Management Shell có thể cho phép mã không đáng tin cậy để chạy trên máy chủ đang chạy Exchange Server trong một số trường hợp. Trong mọi trường hợp, ngoại trừ tác nhân truyền tải, tính năng mở rộng yêu cầu xác thực trước khi chúng có thể được sử dụng. Chúng tôi khuyên bạn nên sử dụng tính năng mở rộng được giới hạn ở các bộ nhị phân, tối thiểu bất cứ nơi nào phù hợp. Chúng tôi cũng đề nghị khách hàng hạn chế truy cập máy chủ để tránh bất kỳ mã chạy trên hệ thống cùng với Exchange Server. Chúng tôi khuyên bạn để xác định xem tin mỗi nhị phân. Bạn phải vô hiệu hoá hoặc loại bỏ những chương trình không đáng tin cậy. Bạn cũng phải đảm bảo rằng giao diện quản lý không thể hiện trên Internet.
Bất kỳ sản phẩm của bên thứ ba mà bài viết này thảo luận do các công ty độc lập với Microsoft sản xuất. Microsoft không bảo hành, theo ngụ ý hay cách khác, về hiệu suất hoặc độ tin cậy của những sản phẩm này.
