摘要
Microsoft 已经意识到一类公开披露的新漏洞(称为“推测执行侧信道攻击”)。这些漏洞会影响众多新式处理器和操作系统。 其中包括来自 Intel、AMD 和 ARM 的芯片集。
我们尚未收到任何信息,指出这些漏洞已被用来攻击客户。 我们将持续与业内合作伙伴密切协作以保护客户。 其中包括芯片制造商、硬件 OEM 和应用程序供应商。 要获取所有可用保护,需要安装硬件/固件和软件更新。 其中包括来自设备 OEM 的微码,在有些情况下,还包括防病毒软件更新。 我们已发布多个更新来帮助缓解这些漏洞。 有关这些漏洞的更多信息,请从 Microsoft 安全公告 ADV180002 获取。 有关一般性指南,也可查看有关缓解推测执行侧信道漏洞的指导。 我们也采取了措施来保护云服务。 有关详细信息,请参阅以下章节。
受影响的 Exchange Server 版本
由于这些是针对基于 x-64 和 x-86 处理器系统的硬件级别的攻击,因此所有受支持的 Microsoft Exchange Server 版本均会受到此问题的影响。
建议
下表介绍了适用于 Exchange Server 客户的建议措施。 目前,不需要安装特定的 Exchange 更新。 但是,我们建议客户运行最新的 Exchange Server 累积更新以及任何所需的安全更新。 我们建议你在将其部署到生产环境之前,采用常规步骤验证新二进制文件来部署修补程序。
|
情形 |
说明 |
建议 |
|
1 |
Exchange Server 在裸机(无虚拟机)上运行,并且没有其他不受信任的应用程序逻辑(应用层)运行于同一台裸机之中。
|
在进行常规预生产验证测试之后,方可应用所有的系统及 Exchange Server 更新。 无需启用内核虚拟地址遮蔽 (KVAS)(请参阅本文后面的相关章节)。 |
|
2 |
Exchange Server 在公开宿主环境(云)中的虚拟机上运行。 |
对于 Azure: Microsoft 已发布有关 Azure 的缓解措施的详细说明(有关详细信息,请参阅 KB 4073235)。 对于其他云提供商: 请参阅相关指南。 有关是否要启用 KVAS,请参阅本文后面的指南。 |
|
3 |
Exchange Server 在专用宿主环境中的虚拟机上运行。 |
有关最佳安全实践,请参阅虚拟机监控程序安全文档。 有关 Windows Server 和 Hyper-V,请参阅 KB 4072698。 有关是否要启用 KVAS,请参阅本文后面的指南。 |
|
4 |
Exchange Server 在物理机或虚拟机上运行,并且未与同一系统上运行的其他应用程序逻辑相隔离。
|
有关是否要启用 KVAS,请参阅本文后面的指南。 |
性能公告
我们建议所有客户在应用更新时,对其特定环境进行性能评估。
本文讨论的由 Microsoft 提供的针对各类漏洞的解决方案将使用基于软件的机制,以防御对数据的跨进程访问。 我们建议所有客户安装 Exchange Server 和 Windows 的更新版本。 这对性能的影响可能很小,具体取决于 Microsoft 对 Exchange 工作负荷的测试结果。
我们已经测量了在不同工作负荷中内核虚拟地址遮蔽 (KVAS) 的影响。 我们发现某些工作负荷的性能明显下降。 如果启用 KVAS,Exchange Server 将会成为这类工作负荷中的一员,性能会明显下降。 对具有高 CPU 使用率或高 I/O 使用模式的服务器可能影响最大。 我们强烈建议你在部署到生产环境之前,首先在实验室中运行相关测试(表示生产需求),对启用 KVAS 的性能影响进行评估。 如果启用 KVAS 的性能影响过大,请考虑将 Exchange Server 与同一系统中运行的不受信任的代码相隔离对于应用程序来说是否是一个更好的缓解方法。
除了 KVAS 之外,有关分支目标注入缓解硬件支持 (IBC) 的性能影响的更多信息,请查看此处。 如果启用 IBC,则运行 Exchange Server 或将 IBC 解决方案部署到其中的服务器的性能可能会明显下降。
我们预计,硬件供应商将会以微码更新的形式提供产品更新。 我们的 Exchange 使用经验表明,微码更新会增加性能下降的几率。 发生这种情况的几率很大部分取决于相关组件以及应用的系统设计。 我们认为,没有哪个单一的解决方案(无论是基于软件还是基于硬件)能够单独解决此类漏洞。 考虑到系统设计和性能的多变性,建议你在将其应用到生产环境之前,对所有更新的性能进行评估。 Exchange 团队尚未计划更新客户目前用来衡量性能差异的规模计算器。 此工具提供的计算结果没有考虑与这些问题的修补程序相关的性能方面的任何变化。 我们将继续评估此工具以及我们认为需要的一些调整,这取决于客户和我们的使用情况。
一旦获得更多信息,我们会更新本文。
启用内核虚拟地址遮蔽
Exchange Server 在多种环境中运行,包括:物理系统、公有和私有云环境中的虚拟机以及 Windows 操作系统。 无论是在哪种环境中,该程序都位于物理系统或虚拟机上。 这种环境(无论是物理还是虚拟)称为安全边界。
如果边界内的所有代码都可访问该边界内的所有数据,则无需执行任何操作。 如果情况并非如此,则此边界称为“多租户”。所发现的漏洞使得任何代码都可以在此边界内的任何进程中运行,以便读取此边界内的任何其他数据。 即使降低权限,也会发生此类情况。 如果边界内的任何进程在运行不受信任的代码,则该进程可使用这些漏洞读取其他进程中的数据。
若要防范多租户边界中不受信任的代码,请执行以下任一操作:
-
移除不受信任的代码。
-
启用 KVAS 以防范进程之间的读取行为。 这会影响性能。 请参阅本文前面的章节以获得详细信息。
有关如何启用适用于 Windows 的 KVAS 的更多信息,请参阅 KB4072698。
示例情形(强烈建议使用 KVAS)
情形 1
Azure 虚拟机正在运行一项服务,在该服务中,不受信任的用户可提交通过有限的权限运行的 JavaScript 代码。 在同一台虚拟机中,Exchange Server 正运行并管理这些不受信任的用户无权访问的数据。 在这种情况下,KVAS 需要防范两个实体之间的信息泄露问题。
情形 2
托管 Exchange Server 的本地物理系统可运行不受信任的第三方脚本或可执行文件。 需要启用 KVAS 以防范 Exchange 数据泄露到脚本或可执行文件。
注意: 仅仅因为 Exchange Server 内部有扩展性机制,并不会自动使其变得不安全。 只要了解并信任每一种依赖关系,即可在 Exchange Server 内安全地使用这些机制。 此外,在 Exchange Server 之上构建的一些其他产品可能需要扩展性机制才能正常工作。 但是,在首次操作时,应检查每项使用情况,以确定该代码是否已被了解和信任。 本指导旨在帮助客户确定他们是否需要启用 KVAS,因为这会对性能产生较大影响。
启用分支目标注入缓解 (IBC) 硬件支持
IBC 可修复 CVE 2017-5715(在 GPZ 披露中也称为“一半幽灵”或“变体 2”。
也可根据在 Windows 上启用 KVAS 的说明来启用 IBC。 然而,IBC 还需要来自硬件制造商的固件更新。 除了 KB 4072698 中有关在 Windows 中启用保护的说明之外,客户还需要从硬件制造商获取更新并进行安装。
示例情形(强烈建议使用 IBC)
情形 1
在托管 Exchange Server 的本地物理系统中,允许不受信任的用户上传并运行任意 JavaScript 代码。 在此情形中,我们强烈建议使用 IBC 来防范进程之间的信息泄露问题。
在没有 IBC 硬件支持的情况下,我们建议将不受信任的进程和受信任的进程分离到不同的物理或虚拟机上。
不受信任的 Exchange Server 扩展性机制
Exchange Server 包括扩展性功能和机制。 其中大多数机制都基于 API,而这些 API 不允许不受信任的代码在正在运行 Exchange Server 的服务器上运行。 在特定情况下,传输代理和 Exchange 命令行管理程序可能允许不受信任的代码在运行 Exchange Server 的服务器上运行。 在所有情况下(传输代理除外),需要进行身份验证后方可使用扩展性功能。 我们建议你使用扩展性功能,该功能仅受限于所适用的最小子集的二进制文件。 我们还建议客户限制服务器访问权限,以避免任意代码与 Exchange Server 在相同系统上运行。 我们建议你确认是否要信任各个二进制文件。 你应该禁用或移除不受信任的二进制文件。 你还应该确保管理界面不会在 Internet 上公开。
本文中提到的任何第三方产品由 Microsoft 以外的其他公司提供。 对于这些产品的性能或可靠性,Microsoft 不做任何默示保证或其他形式的保证。
