Windows hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Tóm tắt

Microsoft đã biết các biến thể mới của lớp tấn công được gọi là lỗ hổng bên kênh suy thực thi. Các biến thể được đặt tên L1 Terminal Fault (L1TF) và mẫu dữ liệu MICROARCHITECTURAL (MDS). Kẻ tấn công có thể khai thác L1TF hoặc MDS có thể đọc dữ liệu đặc quyền trên ranh giới tin cậy.

Cập Nhật ngày 14 tháng 5, 2019: Ngày 14 tháng 5 năm 2019, Intel công bố thông tin về một phân lớp mới của suy thực thi bên kênh lỗ hổng được gọi là mô hình dữ liệu Microarchitectural. Họ đã được chỉ định các CVEs sau đây:

Cập Nhật ngày 12 tháng 11, 2019: Ngày 12 tháng 11 2019, Intel đã xuất bản một tư vấn kỹ thuật xung quanh Intel® giao dịch đồng bộ hóa phần mở rộng (Intel® TSX) 2019-11135 giao Microsoft đã phát hành bản Cập Nhật để giúp giảm lỗ hổng này. Xin lưu ý những mục sau:

Theo mặc định, bảo vệ hệ điều hành được kích hoạt cho một số phiên bản HĐH Windows Server. Xem bài viết cơ sở kiến thức Microsoft 4072698 để biết thêm thông tin.
Theo mặc định, bảo vệ hệ điều hành được kích hoạt cho tất cả các phiên bản HĐH Windows client. Xem bài viết cơ sở kiến thức Microsoft 4073119 để biết thêm thông tin.

Tổng quan về lỗ hổng

Trong môi trường trong đó các tài nguyên được chia sẻ, chẳng hạn như máy chủ ảo, kẻ tấn công có thể chạy mã bất kỳ trên một máy ảo có thể truy cập thông tin từ một máy ảo hoặc máy chủ ảo hóa chính nó.

Luồng công việc máy chủ như Windows Server từ xa máy tính để bàn dịch vụ (RDS) và vai trò chuyên sâu hơn như bộ điều khiển miền Active Directory cũng có nguy cơ. Những kẻ tấn công có thể chạy mã tùy ý (bất kể mức độ đặc quyền) có thể truy cập vào hệ điều hành hoặc khối lượng công việc bí mật như khóa mã hóa, mật khẩu và các dữ liệu nhạy cảm khác.

Hệ điều hành Windows khách cũng có nguy cơ, đặc biệt là nếu họ chạy mã không đáng tin cậy, tận dụng các tính năng ảo hóa dựa trên bảo mật như bảo vệ của Windows Defender, hoặc dùng Hyper-V để chạy máy ảo.

Lưu ý: Các lỗ hổng ảnh hưởng đến bộ xử lý Intel Core và bộ xử lý Intel Xeon chỉ.

Giảm thiểu tổng quan

Để giải quyết các vấn đề này, Microsoft đang làm việc cùng với Intel để phát triển phần mềm Mitigations và hướng dẫn. Cập nhật phần mềm để giúp giảm các lỗ hổng đã được phát hành. Để lấy tất cả bảo vệ có sẵn, bản Cập Nhật có thể được yêu cầu cũng có thể bao gồm vi từ thiết bị OEM.

Bài viết này mô tả cách giảm thiểu các lỗ hổng sau:

CVE-2018-3620-"L1 Terminal Fault-hệ điều hành, SMM"
CVE-2018-3646-"L1 cuối lỗi-VMM"
CVE-2018-11091-"Microarchitectural dữ liệu mẫu Uncacheable bộ nhớ (MDSUM)"
CVE-2018-12126-"Microarchitectural Store đệm dữ liệu mẫu (MSBDS)"
CVE-2018-12127 – "lấy mẫu dữ liệu cổng Microarchitectural (MLPDS)"
CVE-2018-12130-"Microarchitectural điền đệm dữ liệu mẫu (MFBDS)"
CVE-2019-11135-"Windows lõi thông tin công bố lỗ hổng bảo mật"

Để tìm hiểu thêm về các lỗ hổng xem tư vấn bảo mật sau:

L1TF: https://portal.msrc.microsoft.com/security-guidance/advisory/adv180018

MDS: https://Portal.msrc.Microsoft.com/en-US/Security-Guidance/Advisory/adv190013

Windows lõi thông tin công bố lỗ hổng bảo mật: https://Portal.msrc.Microsoft.com/en-US/Security-Guidance/Advisory/CVE-2019-11135

Xác định các hành động cần thiết để giảm thiểu mối đe dọa

Các phần sau đây có thể giúp bạn xác định các hệ thống bị ảnh hưởng bởi các lỗ hổng L1TF và/hoặc MDS, và cũng giúp bạn hiểu và giảm thiểu rủi ro.

Tác động hiệu suất tiềm năng

Trong thử nghiệm, Microsoft đã thấy một số tác động hiệu suất từ các Mitigations, tuỳ thuộc vào cấu hình hệ thống và Mitigations nào được yêu cầu.

Một số khách hàng có thể phải vô hiệu hoá siêu phân luồng (còn được gọi là đa luồng hoặc SMT) đầy đủ địa chỉ rủi ro từ L1TF và MDS. Xin lưu ý rằng vô hiệu hoá siêu phân luồng có thể gây ra sự suy giảm hiệu suất. Trường hợp này áp dụng cho khách hàng sử dụng sau:

Phiên bản của Hyper-V cũ hơn Windows Server 2016 hoặc Windows 10 phiên bản 1607 (Cập Nhật kỷ niệm)
Các tính năng bảo mật (VBS) dựa trên ảo hóa như chứng chỉ bảo vệ và Device guard
Phần mềm cho phép thực hiện mã không đáng tin cậy (ví dụ: một máy chủ xây dựng tự động hóa hoặc chia sẻ IIS lưu trữ môi trường)

Tác động có thể thay đổi theo phần cứng và khối lượng công việc đang chạy trên hệ thống. Cấu hình hệ thống phổ biến nhất là có Hyper-Threading hỗ trợ. Do đó, tác động hiệu suất được gated trên người dùng hoặc quản trị viên đang hành động để vô hiệu hoá siêu phân luồng trên hệ thống.

Lưu ý: Để xác định xem hệ thống của bạn đang sử dụng tính năng bảo vệ VBS, hãy làm theo các bước sau:

Trên menu bắt đầu , nhập MSINFO32. Lưu ý: Cửa sổ thông tin hệ thống mở ra.
Trong hộp Tìm kiếm những gì , nhập bảo mật.
Trong ngăn bên phải, xác định hai hàng được chọn trong ảnh chụp màn hình và kiểm tra cột giá trị để xem liệu dựa trên ảo hóa bảo mật được kích hoạt và dịch vụ bảo mật dựa trên ảo đang chạy.

Hyper-V lõi lịch mitigates L1TF và MDS tấn công vectơ chống lại máy ảo Hyper-V trong khi vẫn cho phép Hyper-Threading vẫn được kích hoạt. Bộ lập lịch lõi có sẵn bắt đầu với Windows Server 2016 và Windows 10 phiên bản 1607. Điều này cung cấp tác động tối thiểu hiệu suất máy ảo.

Lõi lịch không giảm L1TF hoặc MDS tấn công vectơ chống VBS bảo vệ tính năng bảo mật. Để biết thêm thông tin, hãy tham khảo giảm thiểu C và blog ảo sau đây bài viết:

https://aka.ms/hyperclear

Thông tin chi tiết từ Intel về tác động hiệu suất, hãy truy cập website sau của Intel:

www.intel.com/securityfirst

Xác định hệ thống bị ảnh hưởng và Mitigations cần thiết

Biểu đồ dòng trong hình 1 có thể giúp bạn xác định các hệ thống bị ảnh hưởng và xác định đúng bộ hành động.

Quan trọng: Nếu bạn đang sử dụng máy ảo, bạn phải xem xét và áp dụng biểu đồ dòng Hyper-V lưu trữ và mỗi khách VM bị ảnh hưởng riêng vì Mitigations có thể áp dụng cho cả hai. Cụ thể, đối với máy chủ Hyper-V, biểu đồ dòng bước cung cấp liên VM bảo vệ và lưu trữ nội. Tuy nhiên, áp dụng các Mitigations chỉ Hyper-V máy chủ là không đủ để cung cấp bảo vệ Intra VM. Để cung cấp bảo vệ Intra VM, bạn phải áp dụng biểu đồ dòng cho mỗi máy ảo Windows. Trong hầu hết trường hợp, điều này có nghĩa là đảm bảo rằng khoá đăng ký được đặt trong máy ảo.

Khi bạn di chuyển biểu đồ dòng, bạn sẽ gặp phải chữ vòng tròn màu xanh bản đồ hành động hoặc một loạt các hành động được yêu cầu để giảm L1TF vector tấn công cụ thể cho cấu hình hệ thống của bạn. Mỗi hành động mà bạn gặp phải được áp dụng. Khi bạn gặp một dòng màu xanh lá cây, nó chỉ ra một đường dẫn trực tiếp để kết thúc, và không có bước giảm thiểu bổ sung.

Một giải thích ngắn dạng của mỗi giảm thiểu chữ được bao gồm trong truyền thuyết bên phải. Giải thích chi tiết cho mỗi giảm thiểu bao gồm từng bước cài đặt và hướng dẫn cấu hình được cung cấp trong phần "Mitigations".

Sơ đồ

Mitigations

Quan trọng: Phần sau đây mô tả Mitigations sẽ được áp dụng chỉ trong các điều kiện cụ thể được xác định bởi biểu đồ dòng trong hình 1 trong phần trước. KHÔNG áp dụng các Mitigations trừ khi flowchart cho biết thiểu cụ thể là cần thiết.

Ngoài các bản cập nhật phần mềm và vi, thay đổi cấu hình thủ công cũng có thể được yêu cầu để kích hoạt một số bảo vệ. Chúng tôi tiếp tục đề nghị khách hàng doanh nghiệp đăng ký cho các thông báo bảo mật mailer để có thể được cảnh báo về nội dung thay đổi. (Xem thông báo bảo mật kỹ thuật của Microsoft.)

Giảm thiểu A

Tải xuống và áp dụng bản cập nhật Windows mới nhất

Áp dụng tất cả các bản cập nhật hệ điều hành Windows có sẵn, bao gồm các bản Cập Nhật bảo mật Windows hàng tháng. Bạn có thể xem bảng sản phẩm bị ảnh hưởng tư vấn bảo mật của Microsoft | ADV 180018 cho L1TF, bảo mật tư vấn | ADV 190013 cho MDS và CVE-2019-11135 cho Windows lõi thông tin công bố lỗ hổng bảo mật.

Giảm thiểu B

Tải xuống và áp dụng bản Cập Nhật vi hoặc phần mềm mới nhất

Ngoài việc cài đặt bản Cập Nhật bảo mật Windows mới nhất, bản Cập Nhật vi xử lý cũng được yêu cầu. Cài đặt các bản Cập Nhật được cung cấp bởi thiết bị OEM.

Lưu ý: Nếu bạn đang sử dụng ảo hóa lồng nhau (bao gồm cả chạy Hyper-V chứa trong máy khách VM), bạn phải lộ enlightenments vi mới cho VM khách. Điều này có thể yêu cầu nâng cấp cấu hình VM Phiên bản 8. Phiên bản 8 bao gồm các vi enlightenments theo mặc định. Để biết thêm thông tin và các bước bắt buộc, hãy xem bài viết Microsoft Docs bài viết sau:

Chạy Hyper-V trong máy ảo với lồng nhau ảo

Giảm thiểu C

Tôi có nên vô hiệu hóa Hyper-Threading (HT)?

Lỗ hổng L1TF và MDS giới thiệu rủi ro bảo mật máy ảo Hyper-V và bí mật được duy trì bởi Microsoft ảo dựa trên bảo mật (VBS) có thể bị tổn hại bằng cách sử dụng một tấn công kênh bên. Khi Hyper-Threading (HT) được kích hoạt, ranh giới bảo mật được cung cấp bởi cả Hyper-V và VBS bị suy yếu.

Hyper-V lõi lập lịch (có sẵn bắt đầu với Windows Server 2016 và Windows 10 phiên bản 1607) mitigates L1TF và MDS tấn công vectơ chống lại máy ảo Hyper-V trong khi vẫn cho phép Hyper-Threading vẫn được kích hoạt. Điều này cung cấp tác động hiệu suất tối thiểu.

Hyper-V lõi lịch không giảm L1TF hoặc MDS tấn công vectơ chống VBS bảo vệ tính năng bảo mật. Các lỗ hổng L1TF và MDS giới thiệu rủi ro bảo mật của VBS bí mật có thể bị tổn hại qua một kênh bên tấn công khi Hyper-Threading (HT) được kích hoạt, làm suy yếu ranh giới bảo mật cung cấp bởi VBS. Ngay cả với nguy cơ này tăng lên, VBS vẫn cung cấp lợi ích bảo mật có giá trị và giảm nhẹ một loạt các cuộc tấn công với HT kích hoạt. Do đó, chúng tôi khuyên rằng VBS tiếp tục được sử dụng trên hệ thống hỗ trợ HT. Khách hàng muốn loại bỏ nguy cơ tiềm ẩn của L1TF và MDS lỗ hổng bảo mật của VBS nên xem xét tắt HT để giảm thiểu nguy cơ bổ sung này.

Khách hàng muốn loại bỏ nguy cơ L1TF và MDS lỗ hổng gây ra, cho dù bảo mật của Hyper-V Phiên bản cũ hơn Windows Server 2016 hoặc VBS khả năng an ninh, phải cân nhắc quyết định và xem xét việc vô hiệu hoá HT để giảm thiểu rủi ro. Nói chung, quyết định này có thể được dựa trên các nguyên tắc sau:

Đối với Windows 10 phiên bản 1607, Windows Server 2016 và các hệ thống gần đây không chạy Hyper-V và không sử dụng tính năng bảo mật VBS bảo vệ, khách hàng không nên vô hiệu hoá HT.
Đối với Windows 10 phiên bản 1607, Windows Server 2016 và các hệ thống gần đây đang chạy Hyper-V với bộ lập lịch lõi, nhưng không sử dụng tính năng bảo mật VBS bảo vệ, khách hàng không nên vô hiệu hoá HT.
Đối với Windows 10 phiên bản 1511, Windows Server 2012 R2 và các hệ thống đang chạy Hyper-V, khách hàng phải xem xét tắt HT để giảm nguy cơ.

Các bước được yêu cầu để vô hiệu hoá HT khác OEM để OEM. Tuy nhiên, chúng thường là một phần của BIOS hoặc phần mềm thiết lập và các công cụ cấu hình.

Microsoft cũng đã giới thiệu khả năng vô hiệu hóa công nghệ Hyper-Threading thông qua một thiết lập phần mềm nếu nó là khó khăn hoặc không thể vô hiệu hóa HT trong BIOS hoặc phần mềm thiết lập và các công cụ cấu hình. Các thiết lập phần mềm để vô hiệu hóa HT là thứ cấp để thiết lập BIOS hoặc firmware của bạn và được tắt theo mặc định (có nghĩa là HT sẽ theo BIOS hoặc phần mềm cài đặt của bạn). Để tìm hiểu thêm về cài đặt này và làm thế nào để vô hiệu hóa HT sử dụng nó, hãy xem bài viết sau:

4072698 Windows Server Hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Khi có thể, nó được khuyến khích để vô hiệu hóa HT trong BIOS hoặc firmware của bạn để đảm bảo mạnh nhất là HT bị vô hiệu hoá.

Lưu ý: Vô hiệu hoá hyperthreading sẽ làm giảm lõi CPU. Điều này có thể ảnh hưởng đến các tính năng yêu cầu lõi CPU tối thiểu hoạt động. Ví dụ: bảo vệ ứng dụng Windows Defender (WDAG).

Giảm thiểu D

Bật Hyper-V lõi lịch và đặt số VM luồng phần cứng cho mỗi lõi 2

Lưu ý: Các bước giảm thiểu chỉ áp dụng cho Windows Server 2016 và phiên bản Windows 10 trước phiên bản 1809. Lập lịch lõi được bật theo mặc định trên Windows Server 2019 và Windows 10 phiên bản 1809.

Sử dụng bộ lập lịch lõi là một quá trình hai giai đoạn yêu cầu bạn đầu tiên cho phép lập lịch trên máy chủ Hyper-V và sau đó cấu hình mỗi VM tận dụng nó bằng cách đặt số lượng chủ đề phần cứng mỗi lõi hai (2).

Hyper-V lõi lịch được giới thiệu trong Windows Server 2016 và Windows 10 phiên bản 1607 là một thay thế mới cho logic lịch cổ điển. Lịch lõi cung cấp giảm hiệu suất biến cho khối lượng công việc trong máy ảo đang chạy trên một HT Hyper-V hỗ trợ lưu trữ.

Để giải thích chi tiết về lịch trình cốt lõi của Hyper-V và các bước để kích hoạt, hãy xem bài viết sau trong Windows IT Pro Center:

Hiểu và sử dụng các loại lịch Hypervisor Hyper-V

Để kích hoạt bộ lập lịch lõi Hyper-V trên Windows Server 2016 hoặc Windows 10, hãy nhập lệnh sau:

bcdedit /set HypervisorSchedulerType core

Tiếp theo, quyết định cấu hình một VM cho chuỗi phần cứng cho mỗi lõi hai (2). Nếu bạn lộ thực tế rằng bộ xử lý ảo Hyper-ren máy ảo khách, bạn kích hoạt bộ lập lịch trong hệ điều hành VM và khối lượng công việc VM, sử dụng HT trong lập kế hoạch hoạt động của riêng họ. Để thực hiện việc này, hãy nhập lệnh PowerShell, trong đó <Vmname> là tên của máy ảo:

Set-VMProcessor -VMName <VMName> -HwThreadCountPerCore 2

Giảm thiểu E

Kích hoạt Mitigations cho tư vấn CVE-2017-5715, CVE-2017-5754 và CVE-2019-11135

Lưu ý: Các Mitigations được kích hoạt theo mặc định trên Windows Server 2019 và hệ điều hành Windows client.

Để kích hoạt Mitigations cho tư vấn CVE-2017-5715, CVE-2017-5754 và CVE-2019-11135, sử dụng hướng dẫn trong bài viết sau đây:

4072698 Windows Server Hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

4073119 hướng dẫn khách hàng Windows cho chuyên gia CNTT để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Lưu ý: Các Mitigations bao gồm và tự động kích hoạt trang an toàn khung bit thiểu cho Windows lõi và cũng Mitigations được mô tả trong CVE-2018-3620. Để giải thích chi tiết của khung trang an toàn bit nhẹ, xem nghiên cứu bảo mật sau & bài viết blog quốc phòng:

Phân tích và giảm thiểu lỗi thiết bị đầu cuối L1 (L1TF)

Tuyên bố miễn trừ thông tin của bên thứ ba

Các sản phẩm của bên thứ ba mà bài viết này thảo luận được các công ty độc lập với Microsoft sản xuất. Microsoft không bảo hành, dù ngụ ý hay không, về hiệu suất hoạt động hoặc độ tin cậy của các sản phẩm này.

Tuyên bố miễn trừ trách nhiệm liên hệ bên thứ ba

Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm thêm thông tin về chủ đề này. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo tính chính xác của thông tin liên hệ của bên thứ ba.

Tham khảo

Hướng dẫn giảm nhẹ suy thực thi bên kênh lỗ hổng trong Azure