Nul
Microsoft heeft richtsnoeren gepubliceerd voor degenen die graag om de gevolgen te beperken van de laatste L1 Terminal Fout (L1TF) of ‘Voorbodes’ speculatieve uitvoering side channel aanvallen van invloed zijn op Intel Cpu ‘ s.
In sommige gedeelde bron omgevingen zoals cloud computing-omgevingen L1TF kan een virtuele machine om oneigenlijk toegang krijgen tot informatie van een ander, hoewel Microsoft opmerkingen een aanvaller moet vóór de toegang tot het systeem of de mogelijkheid om code uit te voeren op het systeem om de invloed van deze kwetsbaarheid.
In een algemeen advies van Microsoft, heeft gewaarschuwd dat klanten met behulp van Windows-besturingssystemen op systemen met de betrokken Intel-processors in te dienen, zowel firmware (Microcode) en software-updates, afhankelijk van hoe het systeem is geconfigureerd.
Voorbodes is bijzonder riskant in virtuele omgevingen en lastig te beperken, dus Microsoft heeft diverse gedetailleerde blogs te helpen beheerders die het beheer van Windows Server met Hyper-V hypervisor.
L1TF, die bestaat uit drie verschillende kwetsbaarheden, zijn potentieel vervelende voor gedeelde IT-omgevingen en zal vragen om speciale aandacht van beheerders met Windows, Windows Server en Microsoft Hyper-V-hypervisor op machines met de betrokken Intel Core-en Xeon-processors.
Om samen te vatten, de Voorbodes bugs bijgehouden als CVE-2018-3615 invloed van Intel, Software Guard Extensies (SGX) enclaves, terwijl CVE-2018-3620 invloed op de operationele systemen en Systeem Beheer-Modus (SMM) van het geheugen, terwijl CVE-2018-3646 impact van virtualisatie.
L1TF kunt een virtuele machine draait op een processor kern te zien van alle gegevens in de L1 data-cache op die kern.
In een technische post gericht op security engineers, Matt Miller van het Microsoft security response center legt uit dat LTF1 behoort in dezelfde klasse van de speculatieve uitvoering aanvallen als Meltdown en de onlangs bekendgemaakt Lui FP Staat Herstellen van fouten. De LTF1 bugs echter zijn beoordeeld als veel gevaarlijker dan Kernsmelting.
“In tegenstelling tot de Meltdown (CVE-2017-5754), die alleen van invloed op de kernel-to-user scenario, L1TF is van toepassing op alle intra-apparaat aanval scenario ‘s”, zegt Miller.
L1TF is open aan de zes andere aanval scenario ‘s die mogelijk met behulp van de twee varianten van Spectre, die ondermijnd hardware-virtualisatie op basis van isolatie -, proces-en kernel-gebruiker grenzen, en mag een aanvaller te lezen geheugen in een beveiligde enclave, zoals Intel’ s SGX.
Miller zegt Microsoft ‘ s augustus patches proberen te pakken L1TF “zo dicht mogelijk bij de oorzaak mogelijk”, maar merkt ook op dat er meerdere oplossingen die kunnen worden gebruikt en in veel gevallen gecombineerd moeten worden.
Deze updates over de ondersteunde versies van de Windows-kernel en Hyper-V-hypervisor wordt automatisch het afdwingen van een methode te beperken tot twee belangrijke methoden die een hacker zou kunnen gebruiken L1TF in verband met de manier waarop elk handvat paginatabelvermeldingen. Echter, die oplossingen moet handmatig worden ingeschakeld op Windows Server.
De andere combinatie mitigatie van Microsoft augustus patches en Intel ‘ s van de microcode update van de firmware is te “spoelen” de L1 data-cache bij de overgang tussen security domeinen.
“Begin met de augustus 2018 Windows security updates, de Hyper-V-hypervisor gebruikt nu de nieuwe L1 data-cache flush functie als aanwezig om ervoor te zorgen dat de VM gegevens verwijderd uit de L1 data-cache op de kritieke punten,” aldus Miller.
“Op Windows Server 2016+ en Windows 10 1607+, de flush treedt op wanneer u overschakelt van een virtuele processor contexten tussen de vm’ s. Dit helpt bij het verminderen van de invloed op de prestaties van de spoel door het minimaliseren van het aantal keren dat dit moet gebeuren. Op de vorige versies van Windows, de flush treedt op voorafgaand aan het uitvoeren van een VM (bijvoorbeeld vóór de VMENTRY).”
Echter, deze oplossing is ingewikkeld door Intel ‘ s HyperThreading CPU performance booster, waarmee meerdere logische processors uit te voeren gelijktijdig op een fysieke core. Het is mogelijk dat de L1 data-cache voor één core kan worden “vervuild” met de gegevens van andere security domein na een flush optreedt.
Hyper-V-hypervisor op Windows Server 2016 voorkomt dit met behulp van een functie genaamd “core planner”, maar het is opt-in in Windows Server 2016, en is standaard ingeschakeld in Windows Server 2019.
Alle eerdere versies van Windows Server geen ondersteuning voor core planner en dus is het misschien nodig om uit te schakelen HyperThreading op zorg L1 cache flush juist werkt, ten koste van de HyperThreading de verbeteringen van de prestaties. Admins ook rekening mee dat HyperThreading verzwakt informatie die beschermd wordt door Microsoft Virtualisatie Gebaseerde Beveiliging (VBS).
Microsoft zegt in een Windows Server support opmerking op L1TF dat de systemen niet met Hyper-V en zonder VBS ingeschakeld mag niet disable HyperThreading. Ook moet het worden uitgeschakeld op computers met Windows Server 2016 Hyper V en niet VBS ingeschakeld.
“Klanten die willen om het risico dat de L1TF kwetsbaarheid vormt om de vertrouwelijkheid van Hyper-V-versies ouder dan Windows Server 2016 of het risico te VBS security mogelijkheden moet de beslissing af te wegen en overwegen het uitschakelen van HyperThreading aan het inperken van de risico’ Microsoft zegt.
Microsoft ‘ s antwoord op L1TF voor Hyper-V op de Azure-cloud-platform is HyperClear, die het beweert is “relatief te verwaarlozen invloed op de prestaties”. HyperClear bestaat uit core planner, virtuele-processor adres space isolatie, en gevoelige gegevens te schrobben.
Een Intel woordvoerder vertelde ZDNet in een verklaring: “L1 Terminal Storing is verholpen door de microcode-updates eerder dit jaar, in combinatie met bijbehorende updates van het besturingssysteem en de hypervisor software die beschikbaar zijn vanaf vandaag. We hebben gezorgd voor meer informatie op onze website, en verder iedereen aanmoedigen om hun systemen up-to-date, als een van de beste manieren om te zorgen dat u beschermd blijft. Willen We betuigen onze dank aan de onderzoekers van imec, DistriNet, KU Leuven, Technion – Israel Institute of Technology, de University of Michigan, University of Adelaide en Data61 en onze partners voor hun medewerking bij het helpen ons bij het opsporen en aanpakken van dit probleem.”
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0