Lưu ý: Bài viết này sẽ được cập nhật khi có thêm thông tin. Vui lòng kiểm tra lại tại đây thường xuyên để biết các bản cập nhật và câu hỏi thường gặp mới.

Lỗ hổng

Bài viết này khắc phục các lỗ hổng thực hiện suy đoán sau đây:

Windows Update cũng sẽ cung cấp các biện pháp giảm thiểu Internet Explorer và Edge. Chúng tôi sẽ tiếp tục cải thiện các biện pháp giảm thiểu này đối với loại lỗ hổng này.

Để tìm hiểu thêm về loại lỗ hổng này, hãy xem

Vào ngày 14 tháng 5 năm 2019, Intel đã công bố thông tin về một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Lấy mẫu dữ liệu Vi cấu trúc và được ghi lại trong ADV190013 | Lấy mẫu Dữ liệu Vi cấu trúc. Họ đã được gán các CVEs sau đây:

Quan trọng: Các sự cố này sẽ ảnh hưởng đến các hệ thống khác như Android, Chrome, iOS và MacOS. Chúng tôi khuyên khách hàng nên tìm kiếm hướng dẫn từ các nhà cung cấp đó.

Microsoft đã phát hành các bản cập nhật để giúp giảm thiểu các lỗ hổng này. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này có thể bao gồm vi mã từ OEM của thiết bị. Trong một số trường hợp, việc cài đặt các bản cập nhật này sẽ có ảnh hưởng đến hiệu suất. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Chúng tôi đặc biệt khuyên bạn nên triển khai các bản cập nhật này.

Để biết thêm thông tin về sự cố này, hãy xem Tư vấn Bảo mật sau và sử dụng hướng dẫn dựa trên kịch bản để xác định các hành động cần thiết để giảm thiểu mối đe dọa:

Lưu ý: Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ Windows Update cài đặt bất kỳ bản cập nhật vi mã nào.

Vào ngày 6 tháng 8 năm 2019, Intel đã phát hành thông tin chi tiết về lỗ hổng tiết lộ thông tin nhân Windows. Lỗ hổng này là một biến thể của lỗ hổng thực hiện suy đoán phía kênh Spectre Biến thể 1 và đã được gán CVE-2019-1125.

Chúng tôi đã phát hành các bản cập nhật bảo mật cho hệ điều hành Windows vào ngày 9 tháng 7 năm 2019 để giúp giảm thiểu sự cố này. Xin lưu ý rằng chúng tôi đã tổ chức lại ghi lại biện pháp giảm nhẹ này công khai cho đến khi ngành công bố phối hợp vào thứ Ba, ngày 6 tháng 8 năm 2019.

Những khách hàng đã bật Windows Update và đã áp dụng các bản cập nhật bảo mật được phát hành vào ngày 9 tháng 7 năm 2019 sẽ được bảo vệ tự động. Không cần phải cấu hình thêm.

Lưu ý: Lỗ hổng này không yêu cầu cập nhật vi mã từ nhà sản xuất thiết bị của bạn (OEM).

Để biết thêm thông tin về lỗ hổng này và các bản cập nhật hiện hành, hãy xem Hướng dẫn Cập nhật Bảo mật của Microsoft:

Vào ngày 12 tháng 11 năm 2019, Intel đã xuất bản một tư vấn kỹ thuật liên quan đến lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel® Transactional Synchronization Extensions (Intel TSX) được gán là CVE-2019-11135. Microsoft đã phát hành các bản cập nhật để giúp giảm thiểu lỗ hổng này và theo mặc định, các tùy chọn bảo vệ HĐH được bật cho Windows Server 2019 nhưng bị vô hiệu hóa cho Windows Server 2016 và các phiên bản HĐH Windows Server cũ hơn.

Vào ngày 14 tháng 6 năm 2022, chúng tôi đã xuất bản ADV220002 | Hướng dẫn Microsoft về Các lỗ hổng Dữ liệu Dập ghi MMIO của Bộ xử lý Intel và gán các CVEs sau: 

Các hành động được đề xuất

Bạn nên thực hiện các hành động sau đây để giúp bảo vệ chống lại các lỗ hổng:

  1. Áp dụng tất cả các bản cập nhật hệ điều hành Windows hiện có, bao gồm cả các bản cập nhật bảo mật Windows hàng tháng.

  2. Áp dụng bản cập nhật vi chương trình (vi mã) hiện hành do nhà sản xuất thiết bị cung cấp.

  3. Đánh giá rủi ro đối với môi trường của bạn dựa trên thông tin được cung cấp trên Tư vấn Bảo mật của Microsoft: ADV180002, ADV180012, ADV190013ADV220002, ngoài thông tin được cung cấp trong bài viết cơ sở tri thức này.

  4. Hãy hành động theo yêu cầu bằng cách sử dụng thông tin tư vấn và khóa đăng ký được cung cấp trong bài viết cơ sở tri thức này.

Lưu ý: Khách hàng của Surface sẽ nhận được bản cập nhật vi mã thông qua Windows Update. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface mới nhất, hãy xem KB4073065.

Thiết đặt giảm nhẹ cho Windows Server và Azure Stack HCI

Tư vấn bảo mật ADV180002, ADV180012, ADV190013ADV220002 cung cấp thông tin về rủi ro mà các lỗ hổng này gây ra. Chúng cũng giúp bạn xác định các lỗ hổng và xác định trạng thái mặc định của biện pháp giảm thiểu cho hệ thống Windows Server. Bảng dưới đây tóm tắt yêu cầu của vi mã CPU và trạng thái mặc định của các biện pháp giảm nhẹ trên Windows Server.

CVE

Yêu cầu vi mã/vi chương trình CPU?

Trạng thái Mặc định của Mitigation

CVE-2017-5753

Không

Được bật theo mặc định (không có tùy chọn nào để tắt)

Vui lòng tham khảo ADV180002 để biết thêm thông tin

CVE-2017-5715

Bị vô hiệu hóa theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký hiện hành.

Lưu ý "Retpoline" được bật theo mặc định cho các thiết bị chạy Windows 10 1809 trở lên nếu Spectre Biến thể 2 (CVE-2017-5715) được bật. Để biết thêm thông tin về "Retpoline", hãy làm theo mục Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên bài đăng blog windows .

CVE-2017-5754

Không

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2018-3639

Intel: Có

AMD: Không

Bị vô hiệu hóa theo mặc định. Xem ADV180012 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký có thể áp dụng.

CVE-2018-11091

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12126

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12127

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12130

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2019-11135

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định.
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.

Xem CVE-2019-11135 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2022-21123 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.* 

Xem CVE-2022-21123 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

CVE-2022-21125 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.* 

Xem CVE-2022-21125 để biết thêm thông tin.

CVE-2022-21127 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.* 

Xem CVE-2022-21127 để biết thêm thông tin.

CVE-2022-21166 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022 và Azure Stack HCI: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định.* 

Xem CVE-2022-21166 để biết thêm thông tin.

CVE-2022-23825 (Nhầm lẫn loại nhánh CPU AMD)

AMD: Không

Xem CVE-2022-23825 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

CVE-2022-23816 (Nhầm lẫn loại nhánh CPU AMD)

AMD: Không

Xem CVE-2022-23816 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

*Làm theo hướng dẫn giảm nhẹ cho Meltdown bên dưới.

Nếu bạn muốn có được tất cả các bảo vệ có sẵn chống lại các lỗ hổng, bạn phải thực hiện thay đổi khóa đăng ký để kích hoạt các biện pháp giảm nhẹ bị vô hiệu hóa theo mặc định.

Việc bật các biện pháp giảm nhẹ này có thể ảnh hưởng đến hiệu suất. Quy mô hiệu ứng hiệu suất phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong máy chủ vật lý của bạn và khối lượng công việc đang chạy. Chúng tôi khuyên bạn nên đánh giá hiệu ứng hiệu suất cho môi trường của mình và thực hiện bất kỳ điều chỉnh cần thiết nào.

Máy chủ của bạn đang gặp rủi ro cao hơn nếu máy chủ nằm trong một trong các danh mục sau đây:

  • Máy chủ Hyper-V: Yêu cầu bảo vệ cho các cuộc tấn công VM-to-VM và VM-to-host.

  • Máy chủ Dịch vụ Máy tính Từ xa (RDSH): Yêu cầu bảo vệ từ phiên này sang phiên khác hoặc khỏi các cuộc tấn công từ phiên này sang máy chủ khác.

  • Máy chủ vật lý hoặc máy ảo đang chạy mã không đáng tin cậy, chẳng hạn như bộ chứa hoặc phần mở rộng không đáng tin cậy cho cơ sở dữ liệu, nội dung web không đáng tin cậy hoặc khối lượng công việc chạy mã từ các nguồn bên ngoài. Những yêu cầu bảo vệ từ quá trình không đáng tin cậy-to-một quá trình hoặc cuộc tấn công không đáng tin cậy-process-to-kernel.

Sử dụng các thiết đặt khóa đăng ký sau đây để bật các biện pháp giảm nhẹ trên máy chủ và khởi động lại thiết bị để các thay đổi có hiệu lực.

Lưu ý: Theo mặc định, việc bật các biện pháp giảm nhẹ có thể ảnh hưởng đến hiệu suất. Hiệu ứng hiệu suất thực tế phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.

Cài đặt đăng ký

Quan trọng: Chúng tôi đang cung cấp thông tin đăng ký sau để cho phép các biện pháp giảm nhẹ không được bật theo mặc định, như được ghi trong Tư vấn Bảo mật ADV180002, ADV180012, ADV190013ADV220002.

Ngoài ra, chúng tôi cung cấp cài đặt khóa đăng ký nếu bạn muốn tắt các biện pháp giảm nhẹ liên quan đến CVE-2017-5715CVE-2017-5754 dành cho máy khách Windows.

Quan trọng: Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Microsoft cơ sở tri thức:

322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows

Quan trọng: Theo mặc định, Retpoline được bật trên máy chủ Windows 10, phiên bản 1809 nếu spectre, Biến thể 2 (CVE-2017-5715) được bật. Bật Retpoline trên phiên bản mới nhất của Windows 10 có thể nâng cao hiệu suất trên các máy chủ chạy Windows 10, phiên bản 1809 cho Spectre biến thể 2, đặc biệt là trên các bộ xử lý cũ hơn.

Để bật các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để tắt các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Lưu ý: Đặt FeatureSettingsOverrideMask thành 3 chính xác cho cả cài đặt "bật" và "tắt". (Xem phần "Câu hỏi thường gặp " để biết thêm chi tiết về khóa đăng ký.)

Để vô hiệu hóa Biến thể 2: (Biện pháp giảm nhẹ CVE-2017-5715  "Branch Target Injection").

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật biện pháp giảm nhẹ Biến thể 2: (CVE-2017-5715  "Branch Target Injection").:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với CPU AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong ADV180002.

Bật bảo vệ người dùng sang nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để tắt các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass) VÀ các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với bộ xử lý AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong ADV180002.

Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715 và các tùy chọn bảo vệ cho CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi chính (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Spectre [CVE-2017-5753 & CVE-2017-5715] và Meltdown [CVE-2017-5754] các biến thể, bao gồm speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] cũng như Lỗi Terminal L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646] mà không tắt Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi chính (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Spectre [ CVE-2017-5753 & CVE-2017-5715 ] và Meltdown [ CVE-2017-5754 ] các biến thể, bao gồm speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] cũng như Lỗi Terminal L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646 ] bị vô Hyper-Threading hiệu hóa:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để vô hiệu hóa các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi chính (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Spectre [ CVE-2017-5753 & CVE-2017-5715 ] và Meltdown [ CVE-2017-5754 ] các biến thể, bao gồm Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ] dưới dạng cũng như Lỗi Terminal L1 (L1TF) [ CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Bật bảo vệ người dùng sang nhân trên bộ xử lý AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Để được bảo vệ đầy đủ, khách hàng cũng có thể cần tắt Hyper-Threading chủ đề (còn được gọi là Đa Luồng Đồng thời (SMT)). Vui lòng xem KB4073757 để biếthướng dẫn về cách bảo vệ thiết bị Windows.

Xác minh rằng các tùy chọn bảo vệ được bật

Để giúp xác minh rằng tính năng bảo vệ được bật, chúng tôi đã phát hành tập lệnh PowerShell mà bạn có thể chạy trên thiết bị của mình. Cài đặt và chạy tập lệnh bằng cách sử dụng một trong các phương pháp sau đây.

Cài đặt Mô-đun PowerShell:

PS> Install-Module SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Cài đặt mô-đun PowerShell từ Technet ScriptCenter:

  1. Đi tới https://aka.ms/SpeculationControlPS .

  2. Tải SpeculationControl.zip xuống thư mục cục bộ.

  3. Trích xuất nội dung vào thư mục cục bộ. Ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ:

Khởi động PowerShell, rồi sử dụng ví dụ trước đó để sao chép và chạy các lệnh sau đây:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Để được giải thích chi tiết về kết quả của tập lệnh PowerShell, hãy xem KB4074629

Câu hỏi thường gặp

Để giúp tránh gây ảnh hưởng bất lợi đến thiết bị của khách hàng, tất cả các bản cập nhật bảo mật Windows đã được phát hành vào tháng 1 và tháng 2 năm 2018 không được cung cấp cho tất cả khách hàng. Để biết chi tiết, hãy xem KB407269 .

Vi mã được cung cấp thông qua bản cập nhật vi chương trình. Tham khảo OEM của bạn về phiên bản vi chương trình có bản cập nhật thích hợp cho máy tính của bạn.

Có nhiều biến ảnh hưởng đến hiệu suất, từ phiên bản hệ thống đến khối lượng công việc đang chạy. Đối với một số hệ thống, hiệu ứng hiệu suất sẽ không đáng kể. Đối với những người khác, nó sẽ là đáng kể.

Chúng tôi khuyên bạn nên đánh giá hiệu ứng hiệu suất trên hệ thống của mình và thực hiện điều chỉnh nếu cần.

Ngoài các hướng dẫn có trong bài viết này về máy ảo, bạn nên liên hệ với nhà cung cấp dịch vụ của bạn để đảm bảo rằng các máy chủ đang chạy máy ảo của bạn được bảo vệ đầy đủ.

Đối với máy ảo Windows Server đang chạy trong Azure, hãy xem Hướng dẫn để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure . Để biết hướng dẫn về cách sử dụng Azure Update Management để giảm thiểu sự cố này trên máy ảo khách, hãy xem KB4077467.

Các bản cập nhật được phát hành cho hình ảnh bộ chứa Windows Server dành cho Windows Server 2016 và Windows 10, phiên bản 1709 bao gồm các biện pháp giảm thiểu cho bộ lỗ hổng này. Không cần cấu hình bổ sung.

Lưu ý Bạn vẫn phải đảm bảo rằng máy chủ mà những bộ chứa này đang chạy được cấu hình để cho phép các biện pháp giảm nhẹ thích hợp.

Không, thứ tự cài đặt không quan trọng.

Có, bạn phải khởi động lại sau khi cập nhật vi chương trình (vi mã) và sau khi cập nhật hệ thống một lần nữa.

Dưới đây là thông tin chi tiết về khóa đăng ký:

FeatureSettingsOverride thể hiện bitmap sẽ ghi đè thiết đặt mặc định và các điều khiển sẽ bị vô hiệu hóa. Bit 0 kiểm soát biện pháp giảm nhẹ tương ứng với CVE-2017-5715. Bit 1 kiểm soát biện pháp giảm nhẹ tương ứng với CVE-2017-5754. Các bit được đặt thành 0 để cho phép giảm nhẹ và 1 để tắt biện pháp giảm nhẹ.

FeatureSettingsOverrideMask đại diện cho một dấu hiệu bitmap được sử dụng cùng với FeatureSettingsOverride.  Trong trường hợp này, chúng ta sử dụng giá trị 3 (được biểu thị là 11 trong hệ số nhị phân hoặc số cơ số 2) để chỉ ra hai bit đầu tiên tương ứng với các biện pháp giảm nhẹ có sẵn. Khóa đăng ký này được đặt thành 3 để bật hoặc tắt các biện pháp giảm nhẹ.

MinVmVersionForCpuBasedMitigations dành cho máy chủ Hyper-V. Khóa đăng ký này xác định phiên bản máy ảo tối thiểu được yêu cầu để bạn sử dụng các tính năng vi chương trình được cập nhật (CVE-2017-5715). Đặt phiên bản này thành 1.0 để bao gồm tất cả các phiên bản máy ảo. Lưu ý rằng giá trị đăng ký này sẽ bị bỏ qua (lành tính) trên các máy chủ không phải hyper-V. Để biết thêm chi tiết, hãy xem mục Bảo vệ máy ảo dành cho khách khỏi CVE-2017-5715 (branch target injection).

Có, sẽ không có tác dụng phụ nếu các cài đặt đăng ký này được áp dụng trước khi cài đặt các bản sửa lỗi liên quan đến tháng 1 năm 2018.

Có, đối với các máy chủ Windows Server 2016 Hyper-V chưa có bản cập nhật vi chương trình, chúng tôi đã phát hành hướng dẫn thay thế có thể giúp giảm thiểu máy ảo sang máy ảo hoặc máy ảo để lưu trữ các cuộc tấn công. Xem Các biện pháp bảo vệ thay thế cho Máy chủ Windows Server 2016 Hyper-V chống lại lỗ hổng thực hiện suy đoán phía kênh .

Các bản cập nhật dành riêng cho bảo mật không tích lũy. Tùy thuộc vào phiên bản hệ điều hành, bạn có thể cần cài đặt một số bản cập nhật bảo mật để được bảo vệ đầy đủ. Thông thường, khách hàng sẽ cần cài đặt các bản cập nhật tháng 1, tháng 2, tháng 3 và tháng 4 năm 2018. Các hệ thống có bộ xử lý AMD cần có bản cập nhật bổ sung như minh họa trong bảng sau đây:

Phiên bản Hệ Điều hành

Bản cập nhật Bảo mật

Windows 8.1, Windows Server 2012 R2

KB4338815 - Bản tổng hợp Hàng tháng

KB4338824- Dành riêng cho Bảo mật

Windows 7 SP1, Windows Server 2008 R2 SP1 hoặc Windows Server 2008 R2 SP1 (Bản cài đặt Server Core)

KB4284826 - Bản tổng hợp Hàng tháng

KB4284867 - Chỉ bảo mật

Windows Server 2008 SP2

KB4340583 - Bản cập nhật Bảo mật

Chúng tôi khuyên bạn nên cài đặt các bản cập nhật dành riêng cho Bảo mật theo thứ tự phát hành.

Lưu ý: Một phiên bản cũ hơn của Câu hỏi Thường Gặp này đã thông báo sai rằng bản cập nhật dành riêng cho Bảo mật Tháng Hai bao gồm các bản sửa lỗi bảo mật được phát hành vào tháng 1. Trong thực tế, nó không.

Không. Bản cập nhật bảo mật KB4078130 là một bản sửa lỗi cụ thể để ngăn chặn hành vi hệ thống không thể dự đoán, sự cố hiệu suất và khởi động lại không mong muốn sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật trên hệ điều hành máy khách Windows cho phép cả ba biện pháp giảm nhẹ. Trên hệ điều hành Windows Server, bạn vẫn phải bật các biện pháp giảm nhẹ sau khi thực hiện kiểm tra thích hợp. Để biết thêm thông tin, hãy xem KB4072698.

Sự cố này đã được khắc phục trong KB4093118.

Vào tháng 2 năm 2018 , Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel liên quan đến Spectre Biến thể Spectre Biến thể 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 liệt kê các bài viết cơ sở tri thức cụ thể theo phiên bản Windows. Mỗi bài viết KB cụ thể đều chứa các bản cập nhật vi mã Intel có sẵn bằng CPU.

Vào ngày 11 tháng 1 năm 2018, Intel đã báo cáo sự cố trong vi mã được phát hành gần đây nhằm giải quyết Spectre biến thể 2 (CVE-2017-5715 | Branch Target Injection). Cụ thể, Intel lưu ý rằng vi mã này có thể gây ra "cao hơn dự kiến khởi động lại và hành vi hệ thống không thể đoán trước" và các kịch bản này có thể gây ra "mất dữ liệu hoặc hỏng." Kinh nghiệm của chúng tôi là tính không ổn định của hệ thống có thể gây mất dữ liệu hoặc hỏng trong một số trường hợp. Vào ngày 22 tháng 1, Intel khuyên khách hàng nên ngừng triển khai phiên bản vi mã hiện tại trên các bộ xử lý bị ảnh hưởng trong khi Intel thực hiện thử nghiệm bổ sung đối với giải pháp được cập nhật. Chúng tôi hiểu rằng Intel đang tiếp tục điều tra tác động tiềm tiềm của phiên bản vi mã hiện tại. Chúng tôi khuyến khích khách hàng thường xuyên xem lại hướng dẫn của họ để đưa ra quyết định.

Trong khi Intel kiểm tra, cập nhật và triển khai vi mã mới, chúng tôi đang cung cấp bản cập nhật ngoài dải (OOB), KB4078130, chỉ vô hiệu hóa ảnh hưởng của CVE-2017-5715. Trong thử nghiệm của chúng tôi, bản cập nhật này đã được tìm thấy để ngăn chặn các hành vi mô tả. Để biết danh sách đầy đủ các thiết bị, hãy xem hướng dẫn hiệu đính vi mã từ Intel. Bản cập nhật này bao gồm Windows 7 Gói Dịch vụ 1 (SP1), Windows 8.1 và tất cả các phiên bản của Windows 10, cả máy khách và máy chủ. Nếu bạn đang chạy một thiết bị bị ảnh hưởng, bản cập nhật này có thể được áp dụng bằng cách tải xuống từ trang web Danh mục Microsoft Update. Việc áp dụng tải trọng này đặc biệt vô hiệu hóa việc giảm nhẹ đối với CVE-2017-5715.

Hiện tại, không có báo cáo đã biết nào cho thấy Spectre Biến thể 2 này (CVE-2017-5715 – "Branch Target Injection") đã được sử dụng để tấn công khách hàng. Chúng tôi khuyên người dùng Windows nên bật lại biện pháp giảm nhẹ đối với CVE-2017-5715 khi Intel báo cáo đã giải quyết được hành vi hệ thống không thể dự đoán này cho thiết bị của bạn.

Vào tháng 2 năm 2018, Intel đã thông báo rằng họ đã hoàn tất các xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã được Intel xác thực có liên quan đến Spectre Biến thể 2 Spectre Biến thể 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 liệt kê các bài viết cơ sở tri thức cụ thể theo phiên bản Windows. Danh sách KBs có sẵn các bản cập nhật vi mã Intel bằng CPU.

Để biết thêm thông tin, hãy xem bài Cập nhật an ninh AMD và Sách trắng AMD: Hướng dẫn Kiến trúc liên quan đến Kiểm soát Nhánh Gián tiếp . Các bản cập nhật này có sẵn từ kênh vi chương trình OEM.

Chúng tôi đang cung cấp các bản cập nhật vi mã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE-2017-5715 – "Branch Target Injection "). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).

Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục Microsoft Update nếu chưa được cài đặt trên thiết bị trước khi nâng cấp hệ thống. Vi mã Intel có sẵn thông qua Windows Update, Dịch vụ Cập nhật Windows Server (WSUS) hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy xem KB4100347.

Xem các phần "Hành động được đề xuất" và "Câu hỏi thường gặp " của ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.

Để xác minh trạng thái của SSBD, tập lệnh Get-SpeculationControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của vi mã bộ xử lý, nếu có. Để biết thêm thông tin và để có được tập lệnh PowerShell, hãy xem KB4074629.

Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665 . Để biết thông tin về lỗ hổng này và các hành động được đề xuất, hãy xem Tư vấn Bảo mật ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng .

Chú ý Không có cài đặt cấu hình (sổ đăng ký) bắt buộc cho Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) đã được tiết lộ vào ngày 10 tháng 7 năm 2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS là thuộc cùng loại lỗ hổng như Bounds Check Bypass (Biến thể 1). Chúng tôi hiện chưa ghi nhận bất kỳ trường hợp nào của BCBS trong phần mềm của mình. Tuy nhiên, chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành các biện pháp giảm nhẹ theo yêu cầu. Chúng tôi khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tặng thưởng Microsoft Speculative Execution Side Channel, bao gồm mọi trường hợp khai thác được của BCBS. Nhà phát triển phần mềm nên xem lại hướng dẫn nhà phát triển đã được cập nhật cho BCBS tại C++ Hướng dẫn Nhà phát triển cho Kênh Bên Thực hiện Suy đoán 

Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF) đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và nếu khai thác, có thể dẫn đến tiết lộ thông tin. Có nhiều véc-tơ mà kẻ tấn công có thể kích hoạt các lỗ hổng, tùy thuộc vào môi trường cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.

Để biết thêm thông tin về lỗ hổng này và xem chi tiết các kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF, hãy xem các tài nguyên sau đây:

Các bước để vô hiệu hóa Hyper-Threading khác với OEM oem nhưng thường là một phần của BIOS hoặc thiết lập vi chương trình và các công cụ cấu hình.

Khách hàng sử dụng bộ xử lý ARM 64 bit nên liên hệ với OEM thiết bị để được hỗ trợ vi chương trình vì các tùy chọn bảo vệ hệ điều hành ARM64 giúp giảm thiểu các bản cập nhật CVE-2017-5715 | Branch target injection (Spectre, Variant 2) yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị có hiệu lực.

Để biết hướng dẫn Azure, vui lòng tham khảo bài viết này: Hướng dẫn giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure.

Để biết thêm thông tin về việc bật Retpoline, hãy tham khảo bài đăng blog của chúng tôi: Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows .

Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn Bảo mật microsoft: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.

Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.

Ngay sau khi chúng tôi biết về sự cố này, chúng tôi đã làm việc nhanh chóng để giải quyết sự cố đó và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào mối quan hệ đối tác chặt đẹp với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ Ba, ngày 6 tháng 8, phù hợp với các thực hành tiết lộ lỗ hổng phối hợp.

Bạn có thể tìm thấy hướng dẫn thêm trong mục Hướng dẫn để tắt tính năng Intel Transactional Synchronization Extensions (Intel TSX).

Tham khảo

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×