|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 19 tháng 7 năm 2023 |
|
|
Ngày 8 tháng 8 năm 2023 |
|
|
Ngày 9 tháng 8 năm 2023 |
|
|
Ngày 9 tháng 4 năm 2024 |
|
|
Ngày 16 tháng 4 năm 2024 |
|
Tóm tắt
Bài viết này cung cấp hướng dẫn cho một lớp mới của silicon-based microarchitectural và lỗ hổng thực hiện suy đoán phía kênh ảnh hưởng đến nhiều bộ xử lý hiện đại và hệ điều hành. Các ứng dụng này bao gồm Intel, AMD và ARM. Thông tin chi tiết cụ thể cho các lỗ hổng dựa trên silicon này có thể được tìm thấy trong các ADV sau đây (Tư vấn Bảo mật) và CVEs (Lỗ hổng và Phơi sáng Phổ biến):
-
ADV180002 | Hướng dẫn để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh
-
ADV180012 | Hướng dẫn Microsoft cho Bỏ qua Cửa hàng Suy đoán
-
ADV180013 | Đọc Hướng dẫn Microsoft về Đăng ký Hệ thống Rogue
-
ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng
-
ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF
-
ADV190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc
-
ADV220002 | Hướng dẫn Microsoft về các lỗ hổng dữ liệu dập tắt của Bộ xử lý Intel MMIO
Quan trọng: Sự cố này cũng ảnh hưởng đến các hệ điều hành khác, chẳng hạn như Android, Chrome, iOS và macOS. Do đó, chúng tôi khuyên khách hàng nên tìm kiếm hướng dẫn từ các nhà cung cấp đó.
Chúng tôi đã phát hành một số bản cập nhật để giúp giảm thiểu các lỗ hổng này. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Xem các mục sau để biết thêm chi tiết.
Chúng tôi chưa nhận được bất kỳ thông tin nào cho biết rằng các lỗ hổng này đã được sử dụng để tấn công khách hàng. Chúng tôi đang làm việc chặt chẽ với các đối tác trong ngành bao gồm nhà sản xuất chip, OEM phần cứng và nhà cung cấp ứng dụng để bảo vệ khách hàng. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này bao gồm vi mã từ OEM thiết bị và trong một số trường hợp là các bản cập nhật cho phần mềm chống vi rút.
Bài viết này khắc phục các lỗ hổng sau:
Windows Update cũng sẽ cung cấp các biện pháp giảm thiểu Internet Explorer và Edge. Chúng tôi sẽ tiếp tục cải thiện các biện pháp giảm thiểu này đối với loại lỗ hổng này.
Để tìm hiểu thêm về lớp lỗ hổng này, hãy xem các mục sau:
Lỗ hổng
Vào ngày 14 tháng 5 năm 2019, Intel đã công bố thông tin về một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Microarchitectural Data Sampling. Các lỗ hổng này được khắc phục trong các CVEs sau:
-
CVE-2019-11091 | Lấy mẫu Dữ liệu Vi cấu trúc sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Lấy mẫu dữ liệu bộ đệm điền vi cấu trúc (MFBDS)
-
CVE-2018-12130 | Lấy mẫu Dữ liệu Cổng Tải Vi cấu trúc (MLPDS)
Quan trọng: Các sự cố này sẽ ảnh hưởng đến các hệ điều hành khác như Android, Chrome, iOS và MacOS. Chúng tôi khuyên bạn nên tìm kiếm hướng dẫn từ các nhà cung cấp tương ứng này.
Chúng tôi đã phát hành các bản cập nhật để giúp giảm thiểu các lỗ hổng này. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này có thể bao gồm vi mã từ OEM của thiết bị. Trong một số trường hợp, việc cài đặt các bản cập nhật này sẽ có ảnh hưởng đến hiệu suất. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Chúng tôi đặc biệt khuyên bạn nên triển khai các bản cập nhật này.
Để biết thêm thông tin về sự cố này, hãy xem Tư vấn Bảo mật sau và sử dụng hướng dẫn dựa trên kịch bản để xác định các hành động cần thiết để giảm thiểu mối đe dọa:
-
ADV190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc
-
Hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Lưu ý: Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ Windows Update cài đặt bất kỳ bản cập nhật vi mã nào.
Vào ngày 6 tháng 8 năm 2019, Intel đã phát hành thông tin chi tiết về lỗ hổng tiết lộ thông tin nhân Windows. Lỗ hổng này là một biến thể của lỗ hổng thực hiện suy đoán phía kênh Spectre Biến thể 1 và đã được gán CVE-2019-1125.
Chúng tôi đã phát hành các bản cập nhật bảo mật cho hệ điều hành Windows vào ngày 9 tháng 7 năm 2019 để giúp giảm thiểu sự cố này. Xin lưu ý rằng chúng tôi đã tổ chức lại ghi lại biện pháp giảm nhẹ này công khai cho đến khi ngành công bố phối hợp vào thứ Ba, ngày 6 tháng 8 năm 2019.
Những khách hàng đã bật Windows Update và đã áp dụng các bản cập nhật bảo mật được phát hành vào ngày 9 tháng 7 năm 2019 sẽ được bảo vệ tự động. Không cần phải cấu hình thêm.
Lưu ý: Lỗ hổng này không yêu cầu cập nhật vi mã từ nhà sản xuất thiết bị của bạn (OEM).
Để biết thêm thông tin về lỗ hổng này và các bản cập nhật hiện hành, hãy xem Hướng dẫn Cập nhật Bảo mật của Microsoft:
Vào ngày 12 tháng 11 năm 2019, Intel đã xuất bản một tư vấn kỹ thuật liên quan đến lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) được gán là CVE-2019-11135. Chúng tôi đã phát hành các bản cập nhật để giúp giảm thiểu lỗ hổng này. Theo mặc định, các tùy chọn bảo vệ HĐH được bật cho các phiên bản HĐH Windows Client.
Vào ngày 14 tháng 6 năm 2022, chúng tôi đã xuất bản ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Các lỗ hổng bảo mật được gán trong các CVEs sau:
Các hành động được đề xuất
Bạn nên thực hiện các hành động sau đây để giúp bảo vệ chống lại các lỗ hổng này:
-
Áp dụng tất cả các bản cập nhật hệ điều hành Windows hiện có, bao gồm cả các bản cập nhật bảo mật Windows hàng tháng.
-
Áp dụng bản cập nhật vi chương trình (vi mã) hiện hành do nhà sản xuất thiết bị cung cấp.
-
Đánh giá rủi ro cho môi trường của bạn dựa trên thông tin được cung cấp trong Tư vấn Bảo mật của Microsoft ADV180002, ADV180012, ADV190013 và ADV220002,ngoài thông tin được cung cấp trong bài viết này.
-
Hãy hành động theo yêu cầu bằng cách sử dụng thông tin về tư vấn và khóa đăng ký được cung cấp trong bài viết này.
Lưu ý: Khách hàng của Surface sẽ nhận được bản cập nhật vi mã thông qua Windows update. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface mới nhất hiện có, hãy KB4073065.
Vào ngày 12 tháng 7 năm 2022, chúng tôi đã phát hành CVE-2022-23825 | Nhầm lẫn loại nhánh AMD CPU mô tả rằng biệt danh trong bộ dự đoán nhánh có thể khiến một số bộ xử lý AMD dự đoán sai loại nhánh. Sự cố này có thể dẫn đến tiết lộ thông tin.
Để giúp bảo vệ chống lại lỗ hổng này, chúng tôi khuyên bạn nên cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau tháng 7 năm 2022 và sau đó thực hiện hành động theo yêu cầu của CVE-2022-23825 và thông tin khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.
Để biết thêm thông tin, hãy xem bản tin bảo mật AMD-SB-1037 .
Vào ngày 8 tháng 8 năm 2023, chúng tôi đã phát hành CVE-2023-20569 | AMD CPU Return Address Predictor (còn được gọi là Inception) trong đó mô tả một cuộc tấn công kênh suy đoán phía mới có thể dẫn đến thực hiện suy đoán tại một địa chỉ kẻ tấn công kiểm soát. Sự cố này ảnh hưởng đến một số bộ xử lý AMD nhất định và có thể dẫn đến tiết lộ thông tin.
Để giúp bảo vệ chống lại lỗ hổng này, chúng tôi khuyên bạn nên cài đặt các bản cập nhật Windows được cập nhật vào hoặc sau tháng 8 năm 2023 và sau đó thực hiện hành động theo yêu cầu của CVE-2023-20569 và thông tin khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.
Để biết thêm thông tin, hãy xem bản tin bảo mật AMD-SB-7005 .
Vào ngày 9 tháng 4 năm 2024, chúng tôi đã phát hành CVE-2022-0001 | Intel Branch History Injection mô tả Branch History Injection (BHI) là một dạng BTI trong chế độ cụ thể. Lỗ hổng này xảy ra khi kẻ tấn công có thể thao tác lịch sử chi nhánh trước khi chuyển từ người dùng sang chế độ giám sát (hoặc từ VMX không gốc/khách sang chế độ gốc). Thao tác này có thể khiến một trình dự đoán nhánh gián tiếp chọn một mục dự đoán cụ thể cho một nhánh gián tiếp và một tiện ích tiết lộ tại mục tiêu được dự đoán sẽ thực thi tạm thời. Điều này có thể xảy ra vì lịch sử nhánh liên quan có thể chứa các nhánh được thực hiện trong các ngữ cảnh bảo mật trước đó và đặc biệt là các chế độ trình dự đoán khác.
Cài đặt Giảm nhẹ cho máy khách Windows
Tư vấn bảo mật (ADV) và CVE cung cấp thông tin về rủi ro mà các lỗ hổng này gây ra và cách chúng giúp bạn xác định trạng thái giảm nhẹ mặc định cho hệ thống máy khách Windows. Bảng sau đây tóm tắt yêu cầu của vi mã CPU và trạng thái mặc định của các biện pháp giảm nhẹ trên máy khách Windows.
|
CVE |
Yêu cầu vi mã/vi chương trình CPU? |
Trạng thái Mặc định của Mitigation |
|---|---|---|
|
CVE-2017-5753 |
Không |
Được bật theo mặc định (không có tùy chọn nào để tắt) Vui lòng tham khảo ADV180002 để biết thêm thông tin. |
|
CVE-2017-5715 |
Có |
Được bật theo mặc định. Người dùng hệ thống dựa trên bộ xử lý AMD sẽ thấy Câu hỏi thường gặp #15 và người dùng bộ xử lý ARM sẽ thấy Câu hỏi thường gặp #20 trên ADV180002 để biết hành động bổ sung và bài viết KB này để biết các cài đặt khóa đăng ký được áp dụng. Lưu ý Theo mặc định, Bật Retpoline cho các thiết bị chạy Windows 10, phiên bản 1809 trở lên nếu Spectre Biến thể 2 (CVE-2017-5715) được bật. Để biết thêm thông tin, xung quanh Retpoline, hãy làm theo hướng dẫn trong bài đăng blog Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows . |
|
CVE-2017-5754 |
Không |
Được bật theo mặc định Vui lòng tham khảo ADV180002 để biết thêm thông tin. |
|
CVE-2018-3639 |
Intel: Có |
Intel và AMD: Bị vô hiệu hóa theo mặc định. Hãy xem ADV180012 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng. ARM: Được bật theo mặc định mà không có tùy chọn để vô hiệu hóa. |
|
CVE-2019-11091 |
Intel: Có |
Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2018-12126 |
Intel: Có |
Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2018-12127 |
Intel: Có |
Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2018-12130 |
Intel: Có |
Được bật theo mặc định. Hãy xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2019-11135 |
Intel: Có |
Được bật theo mặc định. Xem CVE-2019-11135 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-21123 (một phần của MMIO ADV220002) |
Intel: Có |
Windows 10, phiên bản 1809 trở lên: Được bật theo mặc định. Xem CVE-2022-21123 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
|
CVE-2022-21125 (một phần của MMIO ADV220002) |
Intel: Có |
Windows 10, phiên bản 1809 trở lên: Được bật theo mặc định. Xem CVE-2022-21125 để biết thêm thông tin. |
|
CVE-2022-21127 (một phần của MMIO ADV220002) |
Intel: Có |
Windows 10, phiên bản 1809 trở lên: Được bật theo mặc định. Xem CVE-2022-21127 để biết thêm thông tin. |
|
CVE-2022-21166 (một phần của MMIO ADV220002) |
Intel: Có |
Windows 10, phiên bản 1809 trở lên: Được bật theo mặc định. Xem CVE-2022-21166 để biết thêm thông tin. |
|
CVE-2022-23825 (Nhầm lẫn loại nhánh CPU AMD) |
AMD: Không |
Xem CVE-2022-23825 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành. |
|
CVE-2023-20569
|
AMD: Có |
Xem CVE-2023-20569 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành. |
|
Intel: Không |
Bị vô hiệu hóa theo mặc định. Xem CVE-2022-0001 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành. |
Lưu ý: Theo mặc định, bật các biện pháp giảm nhẹ đang tắt có thể ảnh hưởng đến hiệu suất của thiết bị. Hiệu ứng hiệu suất thực tế phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.
Cài đặt đăng ký
Chúng tôi cung cấp thông tin đăng ký sau đây để cho phép các biện pháp giảm nhẹ không được bật theo mặc định, như được ghi trong Tư vấn Bảo mật (ADV) và CVEs. Ngoài ra, chúng tôi cung cấp cài đặt khóa đăng ký cho người dùng muốn tắt các biện pháp giảm thiểu khi áp dụng cho máy khách Windows.
Quan trọng: Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy xem bài viết sau đây trong Cơ sở Tri thức Microsoft:
322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Quan trọng: Theo mặc định, Retpoline được bật trên thiết bị Windows 10, phiên bản 1809 nếu spectre, Biến thể 2 (CVE-2017-5715) được bật. Việc bật Retpoline trên phiên bản mới nhất của Windows 10 có thể cải thiện hiệu suất trên các thiết bị chạy Windows 10, phiên bản 1809 cho Spectre biến thể 2, đặc biệt là trên các bộ xử lý cũ hơn.
|
Để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. Để tắt các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Lưu ý: Giá trị 3 chính xác đối với FeatureSettingsOverrideMask cho cả cài đặt "bật" và "tắt". (Xem phần "Câu hỏi thường gặp" để biết thêm chi tiết về khóa đăng ký.)
|
Để tắt các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. Để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với CPU AMD và ARM. Bạn phải bật biện pháp giảm nhẹ để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong danh sách ADV180002 về bộ xử lý AMD và Câu hỏi thường gặp #20 ADV180002 về bộ xử lý ARM.
|
Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD và ARM cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
|
Để bật các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass), các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. Lưu ý: Bộ xử lý AMD không dễ gặp phải CVE-2017-5754 (Meltdown). Khóa đăng ký này được sử dụng trong các hệ thống có bộ xử lý AMD để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 trên bộ xử lý AMD và biện pháp giảm nhẹ cho CVE-2018-3639. Để tắt các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass) *và* để giảm nhẹ CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với bộ xử lý AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 ADV180002.
|
Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715 và các tùy chọn bảo vệ cho CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
|
Để bật các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-121 30 ) cùng với các biến thể Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) bao gồm Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646) mà không tắt Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) bị Hyper-Threading tắt: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại. Khởi động lại thiết bị để các thay đổi có hiệu lực. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Khởi động lại thiết bị để các thay đổi có hiệu lực. |
Để bật biện pháp giảm nhẹ cho CVE-2022-23825 trên bộ xử lý AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Để được bảo vệ đầy đủ, khách hàng cũng có thể cần tắt Hyper-Threading chủ đề (còn được gọi là Đa Luồng Đồng thời (SMT)). Vui lòng xem KB4073757 đểbiết hướng dẫn về cách bảo vệ thiết bị Windows.
Để bật biện pháp giảm nhẹ cho CVE-2023-20569 trên bộ xử lý AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Để bật biện pháp giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Cho phép nhiều biện pháp giảm nhẹ
Để bật nhiều biện pháp giảm nhẹ, bạn phải thêm giá REG_DWORD của từng biện pháp giảm nhẹ lại với nhau.
Ví dụ:
|
Giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch, Lấy mẫu Dữ liệu Vi cấu trúc, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) và Lỗi Thiết bị đầu cuối L1 (L1TF) với Hyper-Threading bị vô hiệu hóa |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
NOTE 8264 (trong Thập phân) = 0x2048 (trong Hex) Để bật BHI cùng với các cài đặt hiện có khác, bạn sẽ cần sử dụng bitwise OR của giá trị hiện tại với 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 ở dạng thập phân) và sẽ trở thành 8.396.872 (0x802048). Tương tự với FeatureSettingsOverrideMask. |
|
|
Giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Giảm nhẹ kết hợp |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch, Lấy mẫu Dữ liệu Vi cấu trúc, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) và Lỗi Thiết bị đầu cuối L1 (L1TF) với Hyper-Threading bị vô hiệu hóa |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Giảm nhẹ cho CVE-2022-0001 trên bộ xử lý Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Giảm nhẹ kết hợp |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Xác minh rằng các tùy chọn bảo vệ được bật
Để giúp xác minh rằng tính năng bảo vệ được bật, chúng tôi đã phát hành tập lệnh PowerShell mà bạn có thể chạy trên thiết bị của mình. Cài đặt và chạy tập lệnh bằng cách sử dụng một trong các phương pháp sau đây.
|
Cài đặt Mô-đun PowerShell: PS> Install-Module SpeculationControl Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ: PS> # Lưu chính sách thực thi hiện tại để có thể đặt lại PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl Ps> Get-SpeculationControlSettings PS> # Đặt lại chính sách thực thi về trạng thái ban đầu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Cài đặt Mô-đun PowerShell từ Technet ScriptCenter: Đi tới https://aka.ms/SpeculationControlPS Tải SpeculationControl.zip xuống thư mục cục bộ. Trích xuất nội dung vào thư mục cục bộ, ví dụ: C:\ADV180002 Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ: Khởi động PowerShell, sau đó (bằng cách sử dụng ví dụ trước đó) sao chép và chạy các lệnh sau đây: PS> # Lưu chính sách thực thi hiện tại để có thể đặt lại PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 Ps> Get-SpeculationControlSettings PS> # Đặt lại chính sách thực thi về trạng thái ban đầu PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Để được giải thích chi tiết về kết quả của tập lệnh PowerShell, vui lòng xem KB4074629.
Câu hỏi thường gặp
Vi mã được cung cấp thông qua bản cập nhật vi chương trình. Bạn nên kiểm tra với nhà sản xuất CPU (chipset) và thiết bị về tính khả dụng của các bản cập nhật bảo mật vi chương trình hiện hành cho thiết bị cụ thể của họ, bao gồm Cả Hướng dẫn Sửa đổi Vi mã Intels.
Việc khắc phục lỗ hổng bảo mật phần cứng thông qua bản cập nhật phần mềm hiển thị những thách thức lớn. Ngoài ra, các biện pháp giảm nhẹ cho hệ điều hành cũ hơn yêu cầu phải thay đổi kiến trúc rộng rãi. Chúng tôi đang làm việc với các nhà sản xuất chip bị ảnh hưởng để xác định cách tốt nhất để cung cấp các biện pháp giảm thiểu, có thể được cung cấp trong các bản cập nhật trong tương lai.
Cập nhật cho các thiết bị Microsoft Surface sẽ được giao cho khách hàng thông qua Windows Update cùng với các bản cập nhật cho hệ điều hành Windows. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface khả dụng, hãy xem bài KB4073065.
Nếu thiết bị của bạn không phải từ Microsoft, hãy áp dụng vi chương trình từ nhà sản xuất thiết bị. Để biết thêm thông tin, hãy liên hệ với nhà sản xuất thiết bị OEM.
Vào tháng 2 và tháng 3 năm 2018, Microsoft đã phát hành thêm bảo vệ cho một số hệ thống dựa trên x86. Để biết thêm thông tin , KB4073757 và Trình tư vấn Bảo mật của Microsoft ADV180002.
Cập nhật để Windows 10 holoLens có sẵn cho khách hàng HoloLens thông qua Windows Update.
Sau khi áp dụng Bản cập nhật Bảo mật Windows tháng 2 năm 2018, khách hàng HoloLens không phải thực hiện thêm bất kỳ hành động nào để cập nhật vi chương trình thiết bị của mình. Các biện pháp giảm thiểu này cũng sẽ được bao gồm trong tất cả các bản phát hành tương lai Windows 10 cho HoloLens.
Không. Bản cập nhật Dành riêng cho Bảo mật không tích lũy. Tùy thuộc vào phiên bản hệ điều hành bạn đang chạy, bạn sẽ phải cài đặt mỗi bản cập nhật Dành riêng cho Bảo mật hàng tháng để được bảo vệ chống lại các lỗ hổng này. Ví dụ: nếu bạn đang chạy Windows 7 dành cho Hệ thống 32 bit trên CPU Intel bị ảnh hưởng, bạn phải cài đặt tất cả các bản cập nhật Dành riêng cho Bảo mật. Chúng tôi khuyên bạn nên cài đặt các bản cập nhật Dành riêng cho Bảo mật này theo thứ tự phát hành.
Lưu ý Một phiên bản cũ hơn của Câu hỏi Thường Gặp này đã thông báo sai rằng bản cập nhật Dành riêng cho Bảo mật Tháng Hai bao gồm các bản sửa lỗi bảo mật được phát hành vào tháng 1. Trong thực tế, nó không.
Không. Bản cập nhật bảo mật 4078130 là một bản sửa lỗi cụ thể để ngăn chặn hành vi hệ thống không thể dự đoán, sự cố hiệu suất và/hoặc khởi động lại không mong muốn sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật Tháng Hai trên hệ điều hành máy khách Windows cho phép tất cả ba biện pháp giảm nhẹ.
Intel gần đây đã thông báo rằng họ đã hoàn tất các quá trình xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 liệt kê các bài viết cụ thể trong Cơ sở Kiến thức theo phiên bản Windows. Mỗi KB cụ thể đều bao gồm các bản cập nhật vi mã Intel khả dụng theo CPU.
Sự cố này đã được khắc phục KB4093118.
AMD gần đây đã thông báo rằng họ đã bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Để biết thêm thông tin, hãy tham khảo Hướng dẫn Bảo mật AMD Cập nhật và Sách trắng AMD: Hướng dẫn Kiến trúc liên quan đến Kiểm soát Nhánh Gián tiếp. Các bản cập nhật này có sẵn từ kênh vi chương trình OEM.
Chúng tôi đang cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection "). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).
Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục nếu bạn chưa cài đặt trên thiết bị trước khi nâng cấp HĐH. Vi mã Intel khả dụng thông qua Windows Update, WSUS hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy KB4100347.
Để biết thêm thông tin, hãy xem các tài nguyên sau:
Để biết chi tiết, hãy xem các phần "Hành động được đề xuất" và "Câu hỏi thường gặp" ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.
Để xác minh trạng thái của SSBD, tập lệnh Get-SpeculationControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của vi mã bộ xử lý nếu có. Để biết thêm thông tin và để có được tập lệnh PowerShell, hãy KB4074629.
Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665. Không cần cài đặt cấu hình (sổ đăng ký) để Khôi phục FP lười biếng.
Để biết thêm thông tin về lỗ hổng này và cho các hành động được đề xuất, hãy tham khảo tài liệu tư vấn ADV180016 | Microsoft Guidance for Lazy FP State Restore.
Lưu ý: Không cần cài đặt cấu hình (sổ đăng ký) để Khôi phục FP lười biếng.
Bounds Check Bypass Store (BCBS) đã được tiết lộ vào ngày 10 tháng 7 năm 2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS là thuộc cùng loại lỗ hổng như Bounds Check Bypass (Biến thể 1). Chúng tôi hiện chưa biết về bất kỳ phiên bản nào của BCBS trong phần mềm của mình, nhưng chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành các biện pháp giảm thiểu theo yêu cầu. Chúng tôi tiếp tục khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tiền thưởng Kênh Thực hiện Suy đoán Phía của Microsoft, bao gồm mọi trường hợp khai thác được của BCBS. Các nhà phát triển phần mềm nên xem lại hướng dẫn dành cho nhà phát triển đã được cập nhật cho BCBS https://aka.ms/sescdevguide.
Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF) đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và, nếu khai thác, có thể dẫn đến tiết lộ thông tin. Kẻ tấn công có thể kích hoạt các lỗ hổng thông qua nhiều véc-tơ, tùy thuộc vào môi trường được đặt cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.
Để biết thêm thông tin về lỗ hổng này và một cái nhìn chi tiết của kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF, hãy xem các tài nguyên sau đây:
Khách hàng sử dụng bộ xử lý ARM 64 bit nên kiểm tra với thiết bị OEM để được hỗ trợ vi chương trình vì các tùy chọn bảo vệ hệ điều hành ARM64 giúp giảm CVE-2017-5715 | Branch target injection (Spectre, Variant 2) yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị có hiệu lực.
Để biết thêm thông tin, hãy tham khảo các tư vấn bảo mật sau
Để biết thêm thông tin, hãy tham khảo các tư vấn bảo mật sau
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Vui lòng tham khảo hướng dẫn trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Để biết hướng dẫn Azure, vui lòng tham khảo bài viết này: Hướng dẫn giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure.
Để biết thêm thông tin về việc bật Retpoline, hãy tham khảo bài đăng blog của chúng tôi: Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows.
Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn Bảo mật của Microsoft: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.
Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.
Ngay sau khi chúng tôi biết về sự cố này, chúng tôi đã làm việc nhanh chóng để giải quyết sự cố đó và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào mối quan hệ đối tác chặt đẹp với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ Ba, ngày 6 tháng 8, phù hợp với các thực hành tiết lộ lỗ hổng phối hợp.
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh.
Có thể tìm thấy hướng dẫn thêm trong hướng dẫn Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh.
Bạn có thể tìm thấy hướng dẫn thêm trong mục Hướng dẫn để tắt tính năng Intel® Transactional Synchronization Extensions (Intel® TSX).
Tham khảo
Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.
