KB4072698: Windows Server och Azure Stack HCI-vägledning för skydd mot silicon-baserade säkerhetsproblem med mikroarchitectural och spekulativ exekvering

I den här artikeln beskrivs följande sårbarheter för spekulativ körning:

• CVE-2017-5715 | Branch Target Injection

• CVE-2017-5753 | Gränskontroll , förbikoppling

• CVE-2017-5754 | Rogue Data Cache Load

• CVE-2018-3639 | Spekulativ Store Bypass

Windows Update tillhandahåller också lösningar för Internet Explorer och Edge. Vi kommer att fortsätta att förbättra dessa lösningar mot denna klass av sårbarheter.

Mer information om den här säkerhetsklassen finns i

• ADV180002 | Vägledning för att minska spekulativ exekvering av sidokanalsrisker

• ADV180012 | Microsoft-vägledning för Speculative Store Bypass

Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling och dokumenteras i ADV190013 | Microarchitectural Data Sampling. De har tilldelats följande cv:er:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Microsoft har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster. Vi rekommenderar starkt att du distribuerar dessa uppdateringar.

Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning för att fastställa åtgärder som är nödvändiga för att minimera hotet:

• ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling

• Windows-vägledning för att skydda mot spekulativ exekvering sidokanalsrisker

Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av Spectre, Variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.

Den 9 juli 2019 släppte vi säkerhetsuppdateringar för Windows-operativsystemet för att minimera problemet. Observera att vi höll tillbaka dokumentet om denna begränsning offentligt fram till det samordnade branschupplysningen tisdagen den 6 augusti 2019.

Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Ingen ytterligare konfiguration krävs.

Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i Microsoft Security Update Guide:

• CVE-2019-1125 | Säkerhetsproblem med Informationsläcka i Windows kernel

Den 12 november 2019 publicerade Intel en teknisk rådgivning kring säkerhetsrisken Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort som tilldelas CVE-2019-11135. Microsoft har släppt uppdateringar för att minska den här säkerhetsrisken och OS-skydden är aktiverade som standard för Windows Server 2019 men inaktiverade som standard för Windows Server 2016 och tidigare Windows Server-operativsystem.

Den 14 juni 2022 publicerade vi ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs: 

• CVE-2022-21123 | Delad buffertdataläsning (SBDR)

• CVE-2022-21125 | Sampel av delad buffertdata (SBDS)

• CVE-2022-21127 | Särskild uppdatering för insamling av buffertdata i registret (SRBDS Update)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Rekommenderade åtgärder

Du bör vidta följande åtgärder för att skydda dig mot sårbarheter:

1. Tillämpa alla tillgängliga uppdateringar av Windows-operativsystemet, inklusive de månatliga Windows-säkerhetsuppdateringarna.

2. Tillämpa tillämplig uppdatering av inbyggd programvara (mikrokod) som tillhandahålls av enhetstillverkaren.

3. Utvärdera risken för din miljö baserat på den information som finns i Microsofts säkerhetsrådgivare: ADV180002, ADV180012, ADV190013 och ADV220002, utöver informationen i den här kunskapsbas artikeln.

4. Vidta åtgärder enligt behov med hjälp av de råd och registernyckelinformation som finns i den här kunskapsbas artikeln.

Den 12 juli 2022 publicerade vi CVE-2022-23825 | FÖRVIRRING AV TYPEN AMD CPU Branch som beskriver att alias i grenförsägaren kan orsaka att vissa AMD-processorer förutsäger fel branchtyp. Det här problemet kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från juli 2022 eller senare och sedan vidtar åtgärder enligt CVE-2022-23825 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-1037 .

Den 8 augusti 2023 publicerade vi CVE-2023-20569 | Avsändaradressförutsägare (kallas även start) som beskriver en ny spekulativ sidokanalattack som kan resultera i spekulativ körning på en adress som kontrolleras av en angripare. Det här problemet påverkar vissa AMD-processorer och kan potentiellt leda till informationsläcka.

För att skydda mot den här säkerhetsrisken rekommenderar vi att du installerar Windows-uppdateringar från augusti 2023 eller senare och sedan vidtar åtgärder enligt CVE-2023-20569 och registernyckelinformation som finns i den här kunskapsbas artikeln.

Mer information finns i säkerhetsbulletinen för AMD-SB-7005 .

Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-PROCESSORer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715.  Mer information finns i Vanliga frågor och svar #15 i ADV180002.

Som standard är skydd från användare till kernel för CVE-2017-5715 inaktiverat för AMD-processorer. Kunderna måste aktivera begränsningen för att få ytterligare skydd för CVE-2017-5715.  Mer information finns i Vanliga frågor och svar #15 i ADV180002.

Så här aktiverar du begränsningen för CVE-2022-23825 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

För att vara helt skyddad kan kunderna också behöva inaktivera Hyper-Threading (kallas även samtidig multitrådning (SMT).) Mer information om hur du skyddar Windows-enheter finns i KB4073757.

Så här aktiverar du begränsningen för CVE-2023-20569 på AMD-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Så här aktiverar du begränsningen för CVE-2022-0001 på Intel-processorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

En detaljerad beskrivning av utdata för PowerShell-skriptet finns i KB4074629 . 

För att undvika att kundenheter påverkas negativt erbjöds inte Windows-säkerhetsuppdateringarna som släpptes i januari och februari 2018 för alla kunder. Mer information finns i KB407269 .

Mikrokoden levereras via en uppdatering av den inbyggda programvaran. Kontakta OEM-tillverkaren om versionen av den inbyggda programvaran som har rätt uppdatering för datorn.

Det finns flera variabler som påverkar prestanda, allt från systemversionen till arbetsbelastningarna som körs. För vissa system är prestandaeffekten försumbar. För andra kommer det att bli betydande.

Vi rekommenderar att du utvärderar prestandaeffekterna på dina system och gör justeringar efter behov.

Utöver de riktlinjer som finns i den här artikeln om virtuella datorer bör du kontakta tjänsteleverantören för att se till att de värdar som kör dina virtuella datorer är tillräckligt skyddade.

För virtuella Windows Server-datorer som körs i Azure läser du Vägledning för att begränsa spekulativ exekvering av säkerhetsrisker med sidokanaler i Azure . Mer information om hur du använder Azure Update Management för att minimera problemet på virtuella gästdatorer finns i KB4077467.

Uppdateringarna som släpptes för Windows Server-behållaravbildningar för Windows Server 2016 och Windows 10 version 1709 innehåller lösningar för den här uppsättningen sårbarheter. Ingen ytterligare konfiguration krävs.

Observera Du måste fortfarande se till att värden som dessa behållare körs på är konfigurerad för att aktivera lämpliga åtgärder.

Nej, installationsordern spelar ingen roll.

Ja, du måste starta om efter uppdateringen av den inbyggda programvaran (mikrokod) och sedan igen efter systemuppdateringen.

Här är information om registernycklarna:

FeatureSettingsOverride representerar en bitmapp som åsidosätter standardinställningen och styr vilka åtgärder som ska inaktiveras. Bit 0 styr begränsningen som motsvarar CVE-2017-5715. Bit 1 styr begränsningen som motsvarar CVE-2017-5754. Bitarna är inställda på 0 för att aktivera begränsningen och till 1 för att inaktivera begränsningen.

FeatureSettingsOverrideMask representerar en bitmappsmask som används tillsammans med FeatureSettingsOverride.  I det här fallet använder vi värdet 3 (representeras som 11 i det binära talsystemet eller siffersystemet med bas-2) för att ange de två första bitarna som motsvarar de tillgängliga lösningarna. Registernyckeln är inställd på 3 både för att aktivera eller inaktivera åtgärder.

MinVmVersionForCpuBasedMitigations är för Hyper-V-värdar. Den här registernyckeln definierar den lägsta vm-versionen som krävs för att du ska kunna använda de uppdaterade funktionerna för inbyggd programvara (CVE-2017-5715). Ange 1.0 för alla vm-versioner. Observera att det här registervärdet ignoreras (godartad) på icke-Hyper-V-värdar. Mer information finns i Skydda virtuella gästdatorer från CVE-2017-5715 (branch target injection).

Ja, det finns inga biverkningar om dessa registerinställningar tillämpas innan de januari 2018-relaterade korrigeringarna installeras.

Se en detaljerad beskrivning av skriptresultatet i KB4074629: Understanding SpeculationControl PowerShell script output .

Ja, för Windows Server 2016 Hyper-V-värdar som ännu inte har uppdateringen av den inbyggda programvaran har vi publicerat alternativ vägledning som kan hjälpa till att minimera den virtuella datorn till VM eller VM för att hantera attacker. Se Alternativa skydd för Windows Server 2016 Hyper-V-värdar mot spekulativ exekvering sidokanal säkerhetsproblem .

Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du har kan du behöva installera flera säkerhetsuppdateringar för fullständigt skydd. I allmänhet måste kunderna installera uppdateringarna för januari, februari, mars och april 2018. System som har AMD-processorer behöver en ytterligare uppdatering enligt följande tabell:

Vi rekommenderar att du installerar endast säkerhetsuppdateringar i utgivningsordning.

Nej. Säkerhetsuppdatering KB4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna. På Windows Server-operativsystem måste du fortfarande aktivera lösningarna efter att du har testats korrekt. Mer information finns i KB4072698.

Det här problemet åtgärdades i KB4093118.

I februari 2018 meddelade Intel att de hade slutfört sina valideringar och började släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar som rör Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 innehåller specifika kunskapsbas artiklar efter Windows-version. Varje specifik KB-artikel innehåller de tillgängliga Intel-mikrokoduppdateringarna per CPU.

Den 11 januari 2018 rapporterade Intel problem i nyligen släppt mikrokod som var tänkt att åtgärda Spectre variant 2 (CVE-2017-5715 | Branch Target Injection). Intel noterade särskilt att detta mikrokod kan orsaka "högre omstarter än väntat och annat oförutsägbart systembeteende" och att dessa scenarier kan orsaka "dataförlust eller skada." Vår erfarenhet är att systemets instabilitet kan orsaka dataförlust eller skadas under vissa omständigheter. Den 22 januari rekommenderade Intel kunderna att sluta distribuera den aktuella mikrokodversionen på berörda processorer medan Intel utför ytterligare tester på den uppdaterade lösningen. Vi förstår att Intel fortsätter att undersöka den potentiella effekten av den aktuella mikrokodversionen. Vi uppmuntrar kunderna att kontinuerligt granska sin vägledning för att informera om sina beslut.

Medan Intel testar, uppdaterar och distribuerar ny mikrokod gör vi en OOB-uppdatering (out-of-band) tillgänglig, KB4078130, som specifikt inaktiverar endast begränsningen mot CVE-2017-5715. I våra tester har den här uppdateringen hittats för att förhindra det beskrivna beteendet. En fullständig lista över enheter finns i riktlinjer för mikrokodsrevision från Intel. Den här uppdateringen omfattar Windows 7 Service Pack 1 (SP1), Windows 8.1 och alla versioner av Windows 10, både klient och server. Om du kör en enhet som påverkas kan den här uppdateringen tillämpas genom att ladda ned den från webbplatsen Microsoft Update Catalog. Tillämpningen av denna nyttolast inaktiverar specifikt begränsningen mot CVE-2017-5715.

Från och med nu finns det inga kända rapporter som indikerar att denna Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) har använts för att attackera kunder. Vi rekommenderar att Windows-användare vid behov återaktivera begränsningen mot CVE-2017-5715 när Intel rapporterar att det här oförutsägbara systembeteendet har lösts för din enhet.

I februari 2018meddelade Intel att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar som är relaterade till Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 innehåller specifika kunskapsbas artiklar efter Windows-version. KBs-listan tillgängliga Intel-mikrokoduppdateringar efter CPU.

Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.

Vi gör tillgängliga Intel-validerade mikrokoduppdateringar som berör Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).

Mikrokoduppdateringen är också tillgänglig direkt från Microsoft Update Catalog om den inte installerades på enheten innan du uppgraderade systemet. Intels mikrokod är tillgängligt via Windows Update, Windows Server Update Services (WSUS) eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB4100347.

Mer information finns i följande avsnitt:

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB 4073065 | Vägledning för Surface-kunder

• Microsoft Security Research and Defense Blog

• Utvecklarvägledning för Speculative Store Bypass

Se avsnitten   Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.

För att verifiera status för SSBD har PowerShell-skriptet Get-SpeculationControlSettings uppdaterats för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och processormikrokodens tillstånd, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.

Den 13 juni 2018 tillkännagavs ytterligare en säkerhetsrisk som innebär spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665 . Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Obs! Det finns inga obligatoriska konfigurationsinställningar (register) för Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi känner för närvarande inte till några förekomster av BCBS i vår programvara. Vi fortsätter dock att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi uppmuntrar forskare att skicka in alla relevanta resultat till Microsoft Speculative Execution Side Channel bounty-programmet, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som har uppdaterats för BCBS på C++ Developer Guidance for Speculative Execution Side Channels 

Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa minnesinnehållet över en betrodd gräns och, om det utnyttjas, kan det leda till att information avslöjas. Det finns flera vektorer med vilka en angripare kan utlösa säkerhetsriskerna, beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.

Mer information om den här sårbarheten och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:

• ADV180018 | Microsoft Guidance to mitigate L1TF variant

• Security Advisory Security Research Blog

• Servervägledning för L1-terminalfel

Anvisningarna för att inaktivera Hyper-Threading skiljer sig från OEM till OEM men är vanligtvis en del av BIOS- eller firmwarekonfigurationsverktygen.

Kunder som använder 64-bitars ARM-processorer bör kontakta enhets-OEM-tillverkaren för stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 | Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-tillverkare på enheten börjar gälla.

Mer information finns i följande säkerhetsrekommendationer

• Intels säkerhetsmeddelande

• ADV190013 | Microsoft-vägledning för att minska sårbarheter för mikroarchitectural datainsamling

Ytterligare vägledning finns i Windows-vägledningen för att skydda mot spekulativ exekvering

Mer information finns i Windows-vägledningen för skydd mot spekulativ exekvering

Azure-vägledning finns i den här artikeln: Vägledning för att begränsa spekulativ exekvering i Azure.

Mer information om retpoline-aktivering finns i vårt blogginlägg: Mitigating Spectre variant 2 with Retpoline on Windows .

Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.

Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.

Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.

Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.

Mer information finns i Windows-vägledningen för att skydda mot spekulativ exekvering i sidokanaler.

Mer information finns i Vägledning för att inaktivera Intel Transactional Synchronization Extensions (Intel TSX).

De produkter från tredje part som beskrivs i den här artikeln är tillverkade av företag som är oberoende av Microsoft. Vi försäkrar varken underförstådda eller andra garantier om dessa produkters prestanda eller tillförlitlighet.

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.