摘要
Microsoft 已知稱為「理論式執行端通道攻擊」的新公開揭露等級弱點,這些弱點影響許多新型處理器和作業系統, 其中包括 Intel、AMD 和 ARM 的晶片組。
我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。 我們會持續與業界合作夥伴密切合作,一同保護客戶。 這包括晶片製造商、硬體 OEM 和應用程式廠商。 若要取得所有可用的保護,則必須安裝硬體或韌體更新和軟體更新。 這包括來自裝置 OEM 的微碼,在某些情況下,還包括防毒軟體的更新。 我們已經發行數個更新,可協助避免這些弱點。 如需有關這些弱點的詳細資訊,請參閱 Microsoft 資訊安全諮詢 ADV180002。 如需一般指引,另請參閱減少推測性執行旁路攻擊漏洞在 Azure 中造成的風險指引。 我們也已採取行動,保護我們的雲端服務。 請參閱下列章節,了解詳細資訊。
受影響的 Exchange Server 版本
由於這些是以 x64 和 x86 處理器系統為目標的硬體層級攻擊,因此,所有支援的 Microsoft Exchange Server 版本都會因這個問題而受到影響。
建議
下列表格說明適用於 Exchange Server 客戶的建議動作。 目前沒有必要的特定 Exchange 更新。 但是,我們建議客戶,永遠執行最新的 Exchange Server 累積更新和任何必要的安全性更新。 建議您使用正常程序來部署修正程式,以便先驗證新的二進位檔,然後再部署到生產環境。
|
案例 |
描述 |
建議 |
|
1 |
Exchange Server 在裸機 (無虛擬機器) 執行,並且沒有其他未受信任的應用程式邏輯 (應用程式層) 在相同裸機機器上執行。
|
在進行正常生產階段前驗證測試之後,套用所有系統更新和 Exchange Server 更新。 不需要啟用核心虛擬位址陰影 (KVAS) (請參閱本文後面的相關章節)。 |
|
2 |
Exchange Server 在公用裝載環境 (雲端) 的虛擬機器上執行。 |
對於 Azure: Microsoft 已經張貼有關 Azure 緩和措施作用的詳細資訊 (請參閱 KB 4073235 取得詳細資訊)。 對於其他雲端提供者: 請參閱其指引。 請參閱本文後面的指引,了解是否要啟用 KVAS。 |
|
3 |
Exchange Server 在私人裝載環境的虛擬機器上執行。 |
請參閱 Hypervisor 安全性文件,了解最佳安全性作法。 請參閱 KB 4072698,了解 Windows Server 和 Hyper-V。 請參閱本文後面的指引,了解是否要啟用 KVAS。 |
|
4 |
Exchange Server 在實體電腦或虛擬機器上執行,並且未與相同系統上執行的其他應用程式邏輯隔離。
|
請參閱本文後面的指引,了解是否要啟用 KVAS。 |
效能公告
建議所有客戶在套用更新時,評估特定環境的效能。
Microsoft 針對這裡所述的弱點類型而提供的解決方案,將採用以軟體為基礎的機制,防範跨處理序存取資料。 建議所有客戶安裝更新的 Exchange Server 和 Windows 版本。 根據 Microsoft 對 Exchange 工作負載的測試,這對效能的影響應該極小。
Microsoft 已經針對各種工作負載測量核心虛擬位址陰影 (KVAS) 的影響, 發現有些工作負載出現顯著效能降低。 若啟用 KVAS,則 Exchange Server 是其中一個可能出現顯著效能降低的工作負載。 顯示高 CPU 使用率或高 I/O 使用量模式的伺服器,預期會出現最大影響。 強烈建議您,在部署到生產環境之前,先在代表您生產需求的實驗室執行測試,評估啟用 KVAS 的效能影響。 如果啟用 KVAS 造成太多效能影響,請考量對應用程式而言,將 Exchange Server 與相同系統上執行的未受信任程式碼隔離是否為更妥善的緩和措施。
如需有關分支目標導入緩和措施硬體支援 (IBC) 的效能影響,以及 KVAS 的詳細資訊,請前往這裡。 若啟用 IBC,則執行 Exchange Server 且已部署 IBC 解決方案的伺服器可能出現效能顯著降低的情形。
我們預期硬體供應商會以微碼更新的形式,為他們的產品提供更新。 我們的 Exchange 使用經驗指出,微碼更新會增加效能低落, 影響的程度與元件及更新套用所在的系統設計有著高度關連。 我們認為無論以軟體或硬體為基礎,單一解決方案不足以解決這種弱點。 我們鼓勵您在套用到生產環境之前,先評估所有更新的效能,以因應系統設計和效能的變化性。 Exchange 小組未計劃更新客戶目前說明效能差異所使用的調整大小計算機。 此工具提供的計算不會將與這些問題的修正程式相關的變化,納入效能考量。 我們會持續評估此工具,並根據我們自己的使用量和客戶的使用量,評估可能必要的調整。
我們會在更多資訊可供使用時更新此章節。
啟用核心虛擬位址陰影
Exchange Server 在許多環境中執行,其中包括實體系統、公開和私人雲端環境中的 VM,以及 Windows 作業系統。 無論是哪種環境,程式都位於實體系統或 VM 上。 無論是實體或虛擬環境,這又稱為安全性「界限」。
如果「界限」中的所有程式碼都能存取該「界限」中的所有資料,則不需採取任何動作。 如果不是上述情形,則界限稱為「多租用戶」。已發現的弱點可讓任何在該界限的任何處理序中執行的程式碼,得以讀取該界限內的任何其他資料。 即使在權限受限的情況下,也是如此。 如果界限中的任何處理序正在執行未受信任的程式碼,該處理序可能會使用這些弱點來讀取其他處理序中的資料。
若要在多租用戶界限中防範未受信任的程式碼,請執行下列其中一個操作:
-
移除未受信任的程式碼。
-
啟用 KVAS,以防範處理序對處理序讀取。 這將會產生效能影響。 如需詳細資訊,請參閱本文前面的章節。
如需有關如何為 Windows 啟用 KVAS 的詳細資訊,請參閱 KB 4072698。
範例案例 (強烈建議使用 KVAS)
案例 1
在 Azure VM 所執行的服務中,未受信任的使用者可以提交以有限權限執行的 JavaScript 程式碼。 在相同 VM 中,那些未受信任的使用者無法存取 Exchange Server 所執行並管理的資料。 在這個情況下,必須要有 KVAS 才能防範兩個實體之間的洩漏問題。
案例 2
裝載 Exchange Server 的內部部署實體系統可以執行未受信任的協力廠商指令碼或可執行檔。 為了防範對指令碼或可執行檔洩漏 Exchange 資料,則必須啟用 KVAS。
注意:就算在 Exchange Server 內使用擴充性機制,不表示不安全。 只要了解並信任每個相依性,就能放心地在 Exchange Server 內使用這些機制。 此外,還有其他產品是根據 Exchange Server 而建置,這些產品可能需要擴充性機制,才能正常運作。 請改為檢閱每個用法,以判斷系統是否了解並信任程式碼,做為您的第一個動作。 提供的這個指引可以協助客戶判斷他們是否因為更大的效能影響,而必須啟用 KVAS。
啟用分支目標導入緩和措施 (IBC) 硬體支援
IBC 有助於避免 GPZ 中又稱為 Spectre 或 “variant 2” 的 CVE 2017-5715 攻擊。
這些在 Windows 上啟用 KVAS 的指示也可以啟用 IBC。 然而,IBC 還需要硬體製造商提供的韌體更新。 除了 KB 4072698 中可在 Windows 啟用保護的指示以外,客戶還必須取得並安裝硬體製造商提供的更新。
範例案例 (強烈建議使用 IBC)
案例 1
在裝載 Exchange Server 的內部部署實體系統中,允許未受信任的使用者上傳並執行任意 JavaScript 程式碼。 在這個案例中,我們強烈建議使用 IBC,以防範處理序對處理序的資訊洩漏。
若 IBC 硬體支援不存在,我們建議您將未受信任的處理序和受信任的處理序區隔到不同實體電腦或虛擬機器上。
未受信任的 Exchange Server 擴充性機制
Exchange Server 包含擴充性功能和機制。 其中許多機制都以 API 為基礎,不允許未受信任的程式碼在執行 Exchange Server 的伺服器上執行。 在某些情況中,傳輸代理程式和 Exchange 管理命令介面可能會允許未受信任的程式碼在執行 Exchange Server 的伺服器上執行。 在所有情況中,除了傳輸代理程式以外,擴充性功能必須進行驗證才能使用。 可以的話,我們建議您使用限制為最小二進位檔組合的擴充性功能。 此外,我們也建議客戶限制伺服器存取,以避免任意程式碼在 Exchange Server 的所在系統上執行。 建議您判斷是否要信任每個二進位檔。 您應該停用或移除未受信任的二進位檔。 此外,您也應確認管理介面未在網際網路上公開。
本文提及的任何協力廠商產品是由與 Microsoft 無關的公司所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
