變更日誌
| 變更日期 | 變更描述 |
|---|---|
| 2023 年 4 月 20 日 |
|
| 2023 年 8 月 8 日 |
|
| 2023 年 8 月 9 日 |
|
| 2024 年 4 月 9 日 |
|
| 2024 年 4 月 16 日 |
|
摘要
本文提供針對一類基於矽晶片的微架構及推測執行側通道漏洞的指引,這些漏洞影響了許多現代處理器與作業系統。 這包括 Intel、AMD 和 ARM。 您可以在下列 ADV (安全性建議) 和 CVE (常見弱點與暴露風險) 中找到這些晶片型弱點的特定詳細資料:
- ADV180002 | 緩和理論式執行端通道弱點的指引
- ADV180012 | 適用於理論式儲存略過的 Microsoft 指引
- ADV180013 | 適用於 Rogue 系統登錄讀取的 Microsoft 指引
- ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引
- ADV180018 |Microsoft Guidance 以緩解 L1TF 變體
- ADV190013 | 緩和微結構資料取樣弱點的 Microsoft 指引
- ADV220002 |Microsoft 關於 Intel 處理器 MMIO 陳舊資料漏洞的指引
- CVE-2022-23825 |AMD CPU 分支類型混淆
- CVE-2023-20569 | AMD CPU 傳回位址預測器
- CVE-2022-0001 |Intel 分支歷程記錄導入
重要
這些問題也影響其他作業系統,例如 Android、Chrome、iOS 和 MacOS。 我們建議客戶向這些廠商尋求指導。
我們已經發行數個更新,可協助防範這些弱點。 我們也已採取行動,保護我們的雲端服務。 請參閱下列章節,了解詳細資訊。
我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。 我們會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼,在某些情況下,還包括防毒軟體的更新。
安全性漏洞
投機執行
本文探討下列推測執行弱點:
Windows Update 也將提供 Internet Explorer 和 Edge 緩和措施。 我們會持續改善這些緩和措施,以防範這個弱點等級。
若要深入了解這個弱點等級,請參閱
微架構資料取樣漏洞
2019 年 5 月 14 日,Intel 發布了關於一種新的推測執行側信道漏洞子類別的資訊,該漏洞稱為微架構資料取樣(Microarchitectural Data Sampling),並於 ADV190013 |微架構資料取樣。 這些弱點已指派為下列 CVE:
- CVE-2019-11091 |微架構資料取樣不可快取記憶體 (MDSUM)
- CVE-2018-12126 | 微結構儲存緩衝區資料取樣 (MSBDS))
- CVE-2018-12127 |微架構填充緩衝區資料取樣 (MFBDS)
- CVE-2018-12130 |微架構載入埠資料取樣 (MLPDS)
重要
這些問題將會影響其他系統,例如 Android、Chrome、iOS 和 MacOS。 我們建議客戶向這些廠商尋求指導。
Microsoft 已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。 強烈建議您部署這些更新。
如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用案例指引,判斷防範威脅所需執行的動作:
注意
建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
幽靈,變體1的脆弱性
Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 此漏洞是 Spectre 變體 1 推測執行側通道漏洞的變體,並被指定為 CVE-2019-1125。
2019 年 7 月 9 日,我們已為 Windows 作業系統發行安全性更新,以協助防範此問題。 請注意,我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。
若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 不需要進行進一步設定。
注意
此弱點不需要裝置製造商 (OEM) 的微碼更新。
如需有關此弱點和適用更新的詳細資訊,請參閱 Microsoft 安全性更新導覽:
交易非同步中止漏洞
2019 年 11 月 12 日,Intel 發布了關於® Intel TSX) 交易非同步中止漏洞的技術諮詢,該漏洞編號為 CVE-2019-11135, (Intel 交易同步擴展。 Microsoft 已發佈更新,以協助防範此弱點,且 WINDOWS Server 2019 預設會啟用作業系統保護,但根據預設,Windows Server 2016 及較舊版的 Windows Server OS 版本會停用。
MMIO 過時資料取樣漏洞
2022年6月14日,我們發表了 ADV220002 |Microsoft 關於 Intel 處理器 MMIO 陳舊資料漏洞的指引 ,並指派了以下 CVE:
- CVE-2022-21123 |SBDR (讀取共享緩衝區資料)
- CVE-2022-21125 |SBDS (共享緩衝區資料取樣)
- CVE-2022-21127 |特殊暫存器緩衝區資料取樣更新 (SRBDS更新)
- CVE-2022-21166 |裝置暫存器部分寫入 (DRPW)
建議動作
您應採取下列動作,以協助防範弱點:
- 套用所有可用的 Windows 作業系統更新,其中包括每月 Windows 安全性更新。
- 套用裝置製造商所提供的適用韌體 (微碼) 更新。
- 根據Microsoft安全警示中提供的資訊:ADV180002、ADV180012、ADV190013和ADV220002,以及本文知識庫中提供的資訊,評估對您環境的風險。
- 運用資訊安全諮詢,和這篇知識庫文章提供的登錄機碼資訊採取必要動作。
注意
Surface 客戶將會透過 Windows Update 接收微碼更新。 有關最新 Surface 裝置韌體 (微碼) 更新列表,請參見 KB4073065。
分支類型混淆
2022 年 7 月 12 日,我們發布了 CVE-2022-23825 |AMD CPU 分支類型混淆 ,描述分支預測器中的別名可能導致某些 AMD 處理器預測錯誤的分支類型。 此問題可能會導致資訊洩漏。
為防範此漏洞,我們建議安裝 Windows 更新日期為 2022 年 7 月或之後,並依據 CVE-2022-23825 及本知識庫文章中提供的登錄檔金鑰資訊採取相應行動。
欲了解更多資訊,請參閱 AMD-SB-1037 安全公告。
回傳地址預測器
2023年8月8日,我們發布了 CVE-2023-20569 |回傳位址預測器 (也稱為啟動) ,描述一種新的推測側通道攻擊,可能導致攻擊者控制的位址進行推測性執行。 此問題會影響特定 AMD 處理器,並可能導致資訊洩漏。
為防範此漏洞,我們建議安裝 Windows 更新日期為 2023 年 8 月或之後,並依據 CVE-2023-20569 及本知識庫文章中提供的登錄檔金鑰資訊採取相應行動。
欲了解更多資訊,請參閱 AMD-SB-7005 安全公告。
分支歷史注入
2024 年 4 月 9 日,我們發布了 CVE-2022-0001 |Intel 分支歷史注入 ,描述 BHI) (BHI 的分支歷史注入,這是一種特定形式的模式內 BTI 形式。 當攻擊者可能會在從使用者轉換到主管模式 (或從 VMX 非根/來賓轉換為根模式) 之前,先操作分支歷程記錄時,就會發生此弱點。 此操作可能會導致間接分支預測器為間接分支選取特定的預測器項目,而預測目標的揭露小工具將暫時執行。 這可能是因為相關的分支歷程記錄可能包含先前安全性內容中所採用的分支,尤其是其他預測器模式。
Windows 伺服器和 Azure Stack HCI 的風險降低設定
安全公告 (ADV) 和 CVE 提供資訊提供有關這些漏洞所造成風險的資訊。 並可協助您識別弱點及針對 Windows 伺服器系統的防範措施預設狀態。 下列表格摘要說明 CPU 微碼的需求和 Windows Server 上的緩和措施預設狀態。
| CVE | 需要 CPU 微碼/韌體? | 緩和措施預設狀態 |
|---|---|---|
| CVE-2017-5753 | 否 | 預設為啟用 (無停用選項) 請參閱 ADV180002,以取得其他資訊 |
| CVE-2017-5715 | 是 | 預設為停用。 請參考 ADV180002 以獲取更多資訊,並參考這篇知識庫文章了解適用 的登錄檔金鑰設定。 註若啟用 Spectre Variant 2 (CVE-2017-5715) ,則預設為執行 Windows 10 版本 1809 及以後版本的裝置啟用「Retpoline」。 欲了解更多關於「Retpoline」的資訊,請參考 Windows 部落格文章《 用 Retpoline 緩解幽靈變體 2 》。 |
| CVE-2017-5754 | 否 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 請參閱 ADV180002,以取得其他資訊。 |
| CVE-2018-3639 | Intel: 是 AMD: 否 |
預設為停用。 更多資訊請參見 ADV180012 ,以及這篇文章中適用的 登錄檔金鑰設定。 |
| CVE-2018-11091 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 更多資訊請參見 ADV190013 ,並請參見本文以了解適用 的登錄金鑰設定。 |
| CVE-2018-12126 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 更多資訊請參見 ADV190013 ,並請參見本文以了解適用 的登錄金鑰設定。 |
| CVE-2018-12127 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 更多資訊請參見 ADV190013 ,並請參見本文以了解適用 的登錄金鑰設定。 |
| CVE-2018-12130 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 更多資訊請參見 ADV190013 ,並請參見本文以了解適用 的登錄金鑰設定。 |
| CVE-2019-11135 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及較舊版本: 預設為停用。 欲了解更多資訊,請參閱 CVE-2019-11135 ,並於此文章中了解適用的 登錄檔金鑰設定。 |
| CVE-2022-21123 (MMIO ADV220002) | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及更早版本:預設為停用。* 欲了解更多資訊,請參閱 CVE-2022-21123 ,並於此文章中了解適用 的登錄金鑰設定。 |
| CVE-2022-21125 (MMIO ADV220002) 的一部分 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及更早版本:預設為停用。* 欲了解更多資訊,請參閱 CVE-2022-21125 ,並於此條目中了解適用 的登錄金鑰設定。 |
| CVE-2022-21127 (MMIO ADV220002) | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及更早版本:預設為停用。* 欲了解更多資訊,請參閱 CVE-2022-21127 ,並於此文章中了解適用的 登錄檔金鑰設定。 |
| CVE-2022-21166 (MMIO ADV220002) 的一部分 | Intel: 是 | Windows Server 2019、Windows Server 2022 和 Azure Stack HCI: 預設啟用。 Windows Server 2016 及更早版本:預設為停用。* 欲了解更多資訊,請參閱 CVE-2022-21166 ,並於此文章中了解適用的 登錄金鑰設定。 |
| CVE-2022-23825 (AMD CPU 分支類型混淆) | AMD: 否 | 欲了解更多資訊,請參閱 CVE-2022-23825 ,並於此文章了解適用 的登錄檔金鑰設定。 |
|
CVE-2023-20569 (AMD CPU 回傳位址預測器) |
AMD:是 | 欲了解更多資訊,請參閱 CVE-2023-20569 ,並於此文章中了解適用的登錄金鑰設定。 |
| CVE-2022-0001 | Intel: 否 |
預設為停用 更多資訊請參閱 CVE-2022-0001 ,並於此文章中了解適用的登錄金鑰設定。 |
注意
* 請遵循以下 Meltdown 的緩解指引。
若您希望取得可防範這些弱點的所有可用保護,則必須進行登錄機碼變更,以啟用這些預設為停用的風險降低措施。
啟用這些緩和措施可能會影響效能。 效能影響範圍取決於多個因素,例如實體主機中的特定晶片組,以及執行的工作負載。 我們建議您評估對您環境的效能影響,並進行任何必要的調整。
如果您的伺服器屬於下列其中一個類別,則會增加風險:
- Hyper-V 主機: 需要 VM 對 VM 和 VM 對主機攻擊的保護。
- 遠端桌面服務主機 (RDSH): 需要從一個工作階段到另一個工作階段或從工作階段到主機攻擊的保護。
- 執行「未受信任程式碼」的實體主機或虛擬機器,例如資料庫的容器或未受信任的延伸模組、未受信任的 Web 內容,或是執行外部來源所提供之程式碼的工作負載。 這些都需要未受信任的處理程序到另一個處理程序或未受信任的處理程序到核心攻擊的保護。
請使用下列登錄機碼設定,在伺服器上啟用風險降低措施,然後重新啟動裝置,使變更生效。
注意
啟用預設為停用的風險降低措施可能會影響效能。 實際的效能影響取決於多個因素,例如裝置中的特定晶片組,以及執行的工作負載。
登錄設定
下列提供的登錄資訊可用來啟用如資訊安全諮詢 (ADV) 和 CVE 所述,未預設為啟用的緩和措施。 此外,若使用者想要停用適用於 Windows 用戶端的緩和措施,我們提供的下列登錄機碼設定可供參考。
注意
- 重要 本節、方法或任務包含如何更改登錄檔的步驟。 然而,不當修改登錄可能會發生嚴重問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫中的下列文章:
- KB322756 如何在 Windows 中備份並還原登錄檔
管理 CVE-2017-5715 (Spectre 第二版) 、CVE-2017-5754 (Meltdown) ,以及 CVE-2022-21123、CVE-2022-21125、CVE-2022-21127、CVE-2022-21166 (MMIO)
注意
- 重要 預設情況下,若啟用 Spectre,變體 2 緩解措施 (CVE-2017-5715) ,Retpoline 配置如下:
-
- 回溯緩解功能可在 Windows 10 版本 1809 及更新版本中啟用。
-
- 在 Windows Server 2019 及之後的 Windows Server 版本中,Retpoline 緩解功能被停用。
- 欲了解更多關於 Retpoline 配置的資訊,請參閱 Windows 上的 Retpoline 緩解 Spectre 變體 2。
|
|---|
注意
將 FeatureSettingsOverrideMask 設定為 3 對於 [啟用] 和 [停用]設定都是正確的。 (請參閱常見問題集,取得有關登錄機碼的詳細資訊)。
管理 CVE-2017-5715 (Spectre 第二版的緩解措施)
要停用變體 2: (CVE-2017-5715 |分支目標注入) 緩解:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f重新啟動裝置讓變更生效。 啟用變體 2: (CVE-2017-5715 |分支目標注入) 緩解: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f重新啟動裝置讓變更生效。 |
|---|
僅限 AMD 處理器:啟用 CVE-2017-5715 (Spectre 第二版的完整緩解措施)
根據預設,AMD CPU 對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。
在 AMD 處理器上啟用使用者對核心保護,並同時啟用其他 CVE 2017-5715 的防護措施:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 |
|---|
管理 CVE-2018-3639 (推測性儲存繞道) 、CVE-2017-5715 (Spectre 第二變體) ,以及 CVE-2017-5754 (熔毀)
為啟用 CVE-2018-3639 (推測性儲存繞過) 、 CVE-2017-5715 (Spectre 第二版) 及 CVE-2017-5754 (熔毀) 的緩解措施:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 要停用 CVE-2018-3639 (推測性儲存繞過) 以及 CVE-2017-5715 (Spectre 變體 2) 和 CVE-2017-5754 (熔毀) 的緩解措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f重新啟動裝置讓變更生效。 |
|---|
僅限 AMD 處理器:啟用 CVE-2017-5715 (Spectre 第二版) 及 CVE 2018-3639 (推測性儲存繞過) 的完整緩解措施
根據預設,AMD 處理器對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。
啟用 AMD 處理器的使用者對核心保護,以及 CVE 2017-5715 及 CVE-2018-3639 (推測性儲存繞過) 的保護:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 |
|---|
管理交易非同步中止漏洞、微架構資料取樣、Spectre、熔毀、MMIO、推測性儲存繞過 () SSBD ,以及 L1 終端故障 (L1)
|
為啟用 Intel 交易同步擴展的緩解措施, (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 及微架構資料取樣 ( CVE-2018-11091、CVE-2018-12127、CVE-2018-12127、CVE-2018-1213 ) 0 以及 Spectre [CVE-2017-5753 & CVE-2017-5715]、Meltdown [CVE-2017-5754]變種、MMIO (CVE-2022-21123、CVE-2022-21125,CVE-2022-21127 與 CVE-2022-21166) 包含 Speculative Store Bypass Disabled (SSBD) [CVE-2018-3639] 以及 L1 終端故障 (L1TF) [CVE-2018-3615、CVE-2018-3620 及 CVE-2018-3646],且未停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 為啟用 Intel 交易同步擴展的緩解措施, (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 及微架構資料取樣 ( CVE-2018-11091、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130) ,以及 Spectre [CVE-2017-5753 & CVE-2017-5715] 和 Meltdown [CVE-2017-5754] 變種,包括 Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] 以及 L1 終端故障 (L1TF) [CVE-2018-3615、 CVE-2018-3620 和 CVE-2018-3646],且 Hyper-Threading 已停用: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且韌體更新已套用:完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 為了停用 Intel TSX) 交易非同步中止漏洞的緩解措施, ( (CVE-2019-11135) 及微架構資料取樣 ( CVE-2018-11091、CVE-2018-12127、CVE-2018-12127、CVE-2018-12130) ,以及 Spectre [CVE-2017-5753 & CVE-2017-5715] 和 Meltdown [CVE-2017-5754] 變體,包括 Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] 以及 L1 終端故障 (L1TF) [CVE-2018-3615、CVE-2018-3620 及 CVE-2018-3646]: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
|---|
CVE-2022-23825 \|AMD CPU 分支類型混淆 (BTC)
為了在 AMD 處理器上啟用 CVE-2022-23825 的緩解措施:
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
若要受到完整保護,客戶可能也需要停用超執行緒 (也稱為同步多執行緒 (SMT))。 請參閱 KB4073757 以獲取保護 Windows 裝置的指引。
CVE-2023-20569 \|AMD CPU 回傳位址預測器
為了在 AMD 處理器上啟用 CVE-2023-20569 的緩解措施:
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 \|Intel 分支歷史注入
為了在 Intel 處理器上啟用 CVE-2022-0001 的緩解措施:
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
啟用多重風險降低
若要啟用多種風險降低,您必須新增每個風險降低的 REG_DWORD 值。
例如:
| 交易非同步中止弱點的風險降低、微結構資料取樣、Spectre、Meltdown、MMIO、推測儲存旁路停用 (SSBD),以及已停用超執行緒的 L1 終端機錯誤 (L1TF) | reg 新增 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|---|---|
|
備註 8264 (十進位) = 0x2048 (十六進位) 若要啟用 BHI 及其他現有設定,您必須以 8,388,608 (0x800000) 使用目前值的位元 OR。 0x800000 OR 0x2048 (十進位為 8264),它會變成 8,396,872(0x802048)。 與 FeatureSettingsOverrideMask 相同。 |
|
| Intel 處理器上 CVE-2022-0001 的風險降低 | reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
| 合併的風險降低 | reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
驗證已啟用保護
為協助客戶驗證已啟用保護,我們已經發行 PowerShell 指令碼,可讓您在您的裝置上執行。 使用下列其中一種方法來安裝及執行指令碼。
方法一:使用 PowerShell 資源庫 (Windows Server 2016 或 WMF 5.0/5.1) 進行 PowerShell 驗證
安裝 PowerShell 模組:PS> Install-Module SpeculationControl執行 PowerShell 模組,以驗證已啟用保護: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
方法二:利用 Technet 下載的 PowerShell 驗證, (早期作業系統版本與早期 WMF 版本)
安裝 Technet ScriptCenter 的 PowerShell 模組:
啟動 PowerShell,然後使用先前的範例複製並執行下列命令: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
關於 PowerShell 腳本輸出的詳細說明,請參見 KB4074629 。
常見問題集
我沒有收到 2018 年 1 月和 2 月發布的 Windows 安全更新。我該怎麼辦?
為協助避免對客戶裝置造成負面影響,2018 年 1 月和 2 月發行的 Windows 安全性更新未提供給所有客戶。 詳情請參見 KB407269 。
我要怎麼判斷我用的是正確的 CPU 微碼版本?
微碼是透過韌體更新提供。 請洽詢您的 OEM,以取得具有您電腦適用更新的韌體版本。
緩解措施對效能有什麼影響?
有多個變數會影響效能,例如系統版本、正在執行的工作負載等。 對於某些系統,效果影響將無關緊要。 對於其他系統則值得考慮。
建議您根據系統評估效能影響,並視需要進行調整。
我是在第三方託管的環境或雲端上運行 Windows Server。我該怎麼辦?
除了本文中有關虛擬機器的指引外,您還應連絡您的服務提供者,以確保執行您虛擬機器的主機適當地受到保護。
對於在 Azure 中執行的 Windows Server 虛擬機器,請參閱防範 Azure 中理論式執行端通道攻擊弱點的指導。 有關使用 Azure Update Management 來緩解訪客虛擬機此問題的指引,請參見 KB4077467。
有沒有針對 Windows Server 容器的特定指引?
針對 Windows Server 2016 和 Windows 10 1709 版的 Windows Server 容器映像而發行的更新,包含適用於這組弱點的緩和措施。 並且不需要額外設定。
注意: 您仍必須確認執行這些容器所在的主機已設定為啟用適當的風險降低措施。
軟體和硬體更新是否必須依特定順序安裝?
否,安裝順序不重要。
會有多次重啟嗎?
是,您必須在韌體 (微碼) 更新後重新啟動,然後在系統更新後再次重新啟動。
你能提供更多關於登錄金鑰的細節嗎?
下列是登錄機碼的詳細資訊:
FeatureSettingsOverride 代表覆寫預設設定及控制停用哪個緩和措施的點陣圖。 Bit 0 控制對應至 CVE-2017-5715 的緩和措施。 第 1 位元控制對應 CVE-2017-5754 的緩解措施。 位元設 為 0 以啟用緩解, 1 則停用 緩解。
FeatureSettingsOverrideMask 代表與 FeatureSettingsOverride 搭配使用的點陣圖遮罩。 在這個情況中,我們使用值 3 (在二進位數字或 base-2 數字系統中,以 11 表示),表示對應至可用風險降低措施的前兩個位元。 啟用及停用緩和措施時,都會將此登錄機碼設定為 3。
MinVmVersionForCpuBasedMitigations 是用於 Hyper-V 主機。 這個登錄檔金鑰定義了使用更新韌體能力所需的最低虛擬機版本, (CVE-2017-5715) 。 將此機碼設定為 1.0,以涵蓋所有 VM 版本。 請注意,在非 Hyper-V 主機上,此登錄值將會遭到忽略 (有益的)。 更多細節請參閱 保護訪客虛擬機免受 CVE-2017-5715 (分支目標注入) 。
我可以在安裝更新前先設定登錄檔金鑰,然後安裝更新後重新啟動,讓變更生效嗎?
可以,在安裝 2018 年 1 月相關修正程式之前套用這些登錄設定,沒有任何副作用。
你能提供更多關於 PowerShell 驗證腳本輸出的細節嗎?
如果韌體 (微碼) 更新還沒從我的原廠廠取得,還有辦法保護我的 Hyper-V 主機嗎?
可以,對於尚無可用韌體更新的 Windows Server 2016 Hyper-V 主機,我們已經發行替代指引,有助於避免 VM 對 VM 或 VM 對主機的攻擊。 請參閱 Windows Server 2016 Hyper-V 主機防範理論式執行端通道弱點的替代保護措施 (部分機器翻譯)。
如果我在僅安全分支,我需要安裝哪些僅限安全的更新來防範這些漏洞?
僅限安全性更新不是累積更新。 根據您的作業系統版本,您可能需要安裝多個安全更新才能獲得全面防護。 一般而言,客戶需要安裝 2018 年一月、二月、三月和四月更新。 搭載 AMD 處理器的系統需要下表中顯示的額外更新:
| 作業系統版本 | 安全性更新 |
|---|---|
| Windows 8.1、Windows Server 2012 R2 | KB4338815 - 每月匯總 |
| KB4338824- 僅限安全人員 | |
| Windows 7 SP1、Windows Server 2008 R2 SP1 或 Windows Server 2008 R2 SP1 (Server Core 安裝) | KB4284826 - 每月匯總 |
| KB4284867 - 僅限安全 | |
| Windows Server 2008 SP2 | KB4340583 - 安全更新 |
建議您依發行順序安裝僅限安全性更新。
注意
先前的<常見問題集>版本不正確地指出,2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。
如果我套用任何適用的安全更新,他們會像安全更新KB4078130一樣,停用 CVE-2017-5715 的保護嗎?
否。 安全更新 KB4078130 是一項專門的修正,旨在防止系統行為不可預測、效能問題及安裝微碼後的意外重啟。 在 Windows 用戶端作業系統上套用安全性更新,可啟用全部三個緩和措施。 在 Windows 伺服器作業系統上,經過適當的測試之後,您仍必須啟用緩和措施。 欲了解更多資訊,請參見 KB4072698。
已知問題:部分使用者安裝 2018 年 3 月 13 日的安全更新 (KB 4088875) 後,可能會遇到網路連線問題或遺失 IP 位址設定
這個問題在 KB4093118年解決了。
英特爾已發現部分舊處理器涉及微碼的重啟問題。我該怎麼辦?
2018 年 2 月,Intel 宣布 已完成驗證,並開始釋出新 CPU 平台的微碼。 Microsoft 正在提供經過 Intel 驗證的微碼更新,內容涉及 Spectre 變體 2 Spectre 變體 2 (CVE-2017-5715 |分支目標注入) 。 KB4093836 依 Windows 版本列出具體的 知識庫 文章。 每個特定知識庫文章都包含依 CPU 排列、可用的 Intel 微碼更新。
2018 年 1 月 11 日,英特爾報告近期釋出的微程式碼 出現問題 ,該微程式碼旨在解決 Spectre 變體 2 (CVE-2017-5715 |分支目標注入) 。 英特爾特別指出,這個微程式碼可能導致「高於預期的重啟次數及其他不可預測的系統行為」,且這些情境可能導致「資料遺失或損壞」。 我們的經驗是,系統不穩定在某些情況下可能導致資料遺失或損壞。 Intel 已在 1 月 22 日建議擁有受影響處理器的客戶,停止部署目前微碼版本,因為 Intel 會對更新的解決方案進行其他測試。 我們了解 Intel 會持續調查目前微碼版本的潛在影響, 並鼓勵客戶繼續檢閱指引,以掌握 Intel 的決定。
在英特爾測試、更新並部署新微碼的同時,我們也推出了一個帶外 (OOB) KB4078130更新,該更新僅針對 CVE-2017-5715 的緩解措施被禁用。 依據我們測試的結果,發現此更新能防範所述的行為。 完整裝置清單請參閱英特爾的 微碼修訂指引 。 此更新涵蓋 Windows 7 Service Pack 1 (SP1)、Windows 8.1,以及適用於用戶端和伺服器的所有 Windows 10 版本。 如果你使用的是受影響的裝置,可以透過從 Microsoft Update 目錄網站下載此更新來套用。 此裝載的應用程式只會特別停用防範 CVE-2017-5715 的緩和措施。
截至目前,尚無已知報告顯示此 Spectre 變體 2 (CVE-2017-5715 |分支目標注入) 曾被用來攻擊客戶。 當 Intel 報告裝置的這個無法預測的系統行為已經解決時,我們建議 Windows 客戶適時重新啟用防範 CVE-2017-5715 的緩和措施。
我聽說英特爾已經釋出了微碼更新。我在哪裡可以找到它們?
2018 年 2 月,Intel 宣布 已完成驗證並開始釋出新 CPU 平台的微碼。 Microsoft 正在提供與 Spectre 變體 2 相關的 Intel 驗證微碼更新 Spectre 變體 2 (CVE-2017-5715 |分支目標注入) 。 KB4093836 依 Windows 版本列出具體的 知識庫 文章。 KB 會列出依 CPU 排列、可用的 Intel 微碼更新。
欲了解更多資訊,請參閱 AMD 安全匯報及 AMD 白皮書:關於間接分支控制的架構指引。 這些可從 OEM 韌體管道取得。
我使用的是 2018 年 4 月Windows 10更新 (版本 1803) 。Intel 的微碼有支援我的裝置嗎?我在哪裡可以找到?
我們提供經 Intel 驗證的微碼更新,內容涉及 Spectre 變體 2 (CVE-2017-5715 |分支目標注入) 。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。
此外,升級系統之前,也可以從 Microsoft Update Catalog 直接取得微碼更新 (若在裝置上未安裝)。 Intel 微碼會透過 Windows Update、Windows Server Update Services 或 Microsoft Update Catalog 提供。 欲了解更多資訊及下載說明,請參閱 KB4100347。
我在哪裡可以找到關於新的推測執行側通道漏洞 (推測性儲存繞過 CVE-2018-3639 及盜賊系統登錄器讀取 - CVE-2018-3640) 的資訊?
如需詳細資訊,請參閱下列資源:
我在哪裡可以找到更多關於 Windows 支援 Intel 處理器中 Speculative Store Bypass Disable (SSBD) 的資訊?
請參閱ADV180012 | 的「建議行動」與「常見問題」部分 Microsoft 投機性商店繞過指引。
如何?判斷 SSBD 是否啟用或停用?
為了驗證 SSBD 的狀態, Get-SpeculationControlSettings PowerShell 腳本已更新,以偵測受影響的處理器、SSBD 作業系統更新狀態,以及處理器微程式碼狀態(如適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB4074629。
我聽說過「Lazy FP State Restore」 (CVE-2018-3665) 。Microsoft 會針對此推出緩解措施嗎?
2018 年 6 月 13 日,另一個涉及側信道推測執行的漏洞,稱為 Lazy FP State Restore,被宣布並被分配為 CVE-2018-3665 。 有關此漏洞及建議措施,請參閱安全公告 ADV180016 |Microsoft 關於 Lazy FP State Restore 的指引 。
注意:「消極式還原 FP 還原」不需要設定 (登錄) 設定。
我聽說 CVE-2018-3693 (Bounds Check Bypass Store) 與 Spectre 有關。Microsoft 會針對此推出緩解措施嗎?
Bounds Check Bypass Store (BCBS) 於 2018 年 7 月 10 日揭露,並被分配為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 我們目前未在軟體中發現 BCBS 實例。 不過我們會繼續研究這個弱點等級並與業界合作夥伴合作,視需要發行緩和措施。 我們鼓勵研究人員將任何相關發現提交給 Microsoft Speculative Execution Side Channel 賞金計畫,包括任何可被利用的 BCBS 實例。 軟體開發者應參考已更新的 BCBS 開發者指引,該指引為 C++ 的推測執行側通道開發者指引
我聽說 L1 終端故障 (L1TF) 已經被揭露了。我在哪裡可以找到更多關於它以及 Windows 支援的資訊?
我們已於 2018 年 8 月 14 日宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。
如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:
如何?在我的裝置上關閉 L1TF 的 Hyper-Threading?
停用「超執行緒」的步驟會依 OEM 而有所不同,但一般來說,屬於 BIOS 或韌體設定和組態工具的內容。
我在哪裡可以取得能緩解 CVE-2017-5715 的 ARM64 韌體 \|Spectre變體2的分支目標注射 () ?
使用 64 位元 ARM 處理器的客戶應聯繫裝置原廠(OEM)以獲得韌體支援,因為 ARM64 作業系統的保護措施可緩解 CVE-2017-5715 |Spectre (分支目標注入,變體 2) 需要裝置 OEM 最新的韌體更新才能生效。
我在哪裡可以找到關於英特爾關於微架構資料取樣的揭露資訊 (CVE-2018-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130)
如需詳細資訊,請參閱下列資訊安全諮詢:
我在哪裡可以找到情境式指引,以判斷緩解微架構資料取樣漏洞所需的行動?
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如何?在我的裝置上停用 MDS 的 Hyper-Threading?
我在哪裡可以找到 Azure 的指引?
關於 Azure 的指引,請參考這篇文章:針對緩解 Azure 中推測執行側通道漏洞的指引。
我在哪裡可以了解更多關於 Windows 10 版本 1809 上的 Retpoline 啟用資訊?
欲了解更多關於 Retpoline 啟用的資訊,請參閱我們的部落格文章: 在 Windows 上使用 Retpoline 緩解 Spectre 變體 2 。
我聽說 Spectre 變體 1 有一種推測執行側信道漏洞的變體。我可以在哪裡了解更多?
關於此漏洞的詳細資訊,請參閱 Microsoft 安全指南: CVE-2019-1125 |Windows 核心資訊揭露漏洞。
CVE-2019-1125 \|Windows 核心資訊揭露漏洞會影響 Microsoft 的雲端服務?
我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。
如果 CVE-2019-1125 有更新 \|Windows 核心資訊揭露漏洞於 2019 年 7 月 9 日釋出,為什麼細節會在 2019 年 8 月 6 日公布?
我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。
我在哪裡可以找到情境式指引,以判斷為減輕 Intel 交易同步擴展 (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 所需的行動?
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
我是否需要在我的裝置上停用 Intel 交易同步擴展 (Intel TSX) 交易非同步中止漏洞 Hyper-Threading (CVE-2019-11135) ?
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
有沒有辦法停用 Intel TSX) 功能的 Intel 交易同步擴充 (?
更多指引可見於停用 Intel 交易同步擴充(Transactional Synchronization Extensions (Intel TSX) 功能的指引。
參考
第三方資訊免責聲明
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。