關於稱為推測性執行旁路攻擊 ( speculative execution side-channel attacks ) 的緊急通告
對於近日被 Google 團隊 Zero Project 提前揭露一個名為 ” 推測性執行旁路攻擊 ( speculative execution side-channel attacks ) ” 針對 CPU ( 中央處理器 ) 漏洞 ( 該團隊原先計畫於一月九日對外披露 ),微軟於今天清晨正式對外堤出回應與建議,微軟建議所有客戶包含伺服器,個人電腦均應盡速完成硬 / 軟體的更新以便於維持在最安全的保護下。
除此之外,為了主動保護微軟的雲端平台用戶,因此 Azure 的用戶可能注意到一個緊急通知 ” 我們計劃於台北時間 1 月 4 日上午 11:30 開始自動重啟受到該漏洞影響的虛擬機器 ”,也是為了因應該漏洞之揭露所採取緊急安全性措施,以避免用戶受到該漏洞揭露而造成影響。
該漏洞造成之影響
該被稱為 ( speculative execution side-channel attacks ) 推測性執行旁路攻擊的漏洞共計有三種,影響眾多處理器以及作業系統,中央處理器包含 Intel、 AMD 以及 ARM 都在影響範圍內;而必須注意的是,這個弱點也同時影響其他系統,包含Android, Chrome, iOS, MacOS。
由於該攻擊的危險關鍵在於 ” 訊息洩漏 ”。如果有心人士利用該漏洞進行攻擊,有可能導致系統上敏感訊息被不當揭露 / 存取。
針對該漏洞建議的處置措施
為了緩解該漏洞所造成之影響,微軟發布下列更新,提醒您,為了確保您的電腦處於最佳安全狀況避免該漏洞造成的影響,因此針對硬體 firmware 以及軟體的更新是必須的。同時我們也將同步採取必要的行動來保護我們的雲端服務。詳細請參閱以下說明:
[ 針對雲端用戶 ]
確保客戶的安全永遠是我們的第一優先順序。我們正在採取積極措施,確保沒有 Azure 客戶暴露於這些漏洞。絕大多數 Azure 的基礎架構已經更新,以解決此漏洞。Azure 的某些部份仍在進行更新,需要重新開機客戶的 VM 才能使安全更新生效。
- Azure 計畫性維護的通知,並且已經重新開機 VM 以應用此修復程式,因此不需要您再採取進一步的操作。
- 對於在 2018 年 1 月 4 日上午 11:30 以前尚未重新啟動的虛擬系統,微軟正在加快計畫性維護的程序,開始自動重新開機其餘受影響的虛擬系統。為開始加速該程序更新,某些客戶提供的「自助維護」視窗現已結束。
- 本次更新過程中,我們將維持 Availability Set、VM Scale Set 和 Cloud Services 的服務等級協定 ( SLA ) 承諾。這將減少對可用性的影響,並且只在任何給定時間重新開機 VM 的子集 ( subset )。這將確保遵循 Azure 的高可用性指南的任何解決方案仍然可供您的客戶和使用者使用。
- 在此維護期間,將保留虛擬機器上的作業系統和資料磁片。您可以看到您的虛擬機器狀態,並且在您的 Azure Portal 上,Azure Service Health 中的 Planned Maintenance 單元,了解重新開機是否已完成。
- 大多數 Azure 客戶不應感受到此更新對性能產生顯著影響。
[ 針對一般用戶]
截至目前為止 Microsoft 尚未收到任何利用此漏洞的攻擊訊息。Microsoft 正與包含晶片製造商、硬體 OEM 廠商以及應用軟體開發廠商等夥伴緊密合作,以保護客戶。
為了確保您取得全面的保護,因此 Microsoft 再次提醒您,為了確保您的電腦處於最佳安全狀況該漏洞造成的影響,針對硬體 firmware 以及軟體的更新是必須的。這些更新範圍也包含了針對設備的微指令 ( microcode ),以及在某些情況中需要防毒軟體廠商取得相關更新。
因應該漏洞,請立即參閱 Microsoft 安全性通告 180002,該安全性通告解決了以下三種漏洞,包含 :
- CVE-2017-5715 分支目錄注入 ( branch target injection )
- CVE-2017-5753 邊界檢查略過 ( bounds check bypass )
- CVE-2017-5754 惡意快取記憶體暫存加載 ( rogue data cache load )
再次提醒您,由於該漏洞發生於硬體層面,因此為了確保您取得全面的保護,以下項目是必須進行的:
- 請立即與您的硬體廠商聯繫,以便於取得針對該漏洞的更新修正程式 ( firmware )。
- 請立即參閱 Microsoft 安全性通告 180002 並進行軟體更新。
- 若您的系統已經開啟自動化更新 ( Windows Update ),我們會主動在更新發布時,提供更新程式;但建議您再次確認,以確保安全。
- 在某些情況下,您可能需要從防毒軟體廠商取得更新,請與您的防毒廠商聯繫與確認。
[ 相關參考資源 ]
針對該漏洞,相關資源請參閱:
Security Advisory 180002 – Vulnerability in CPU Microcode Could Allow Information Disclosure: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
KB 4073119 – Windows Client Guidance for IT Pros to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073119
KB 4072698 – Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4072698
KB 4072699 – Important Information regarding the Windows Security Updates Released January 2018 (A/V): https://support.microsoft.com/help/4072699
KB 4073229 – Protect your device against the recent chip-related security vulnerability: https://support.microsoft.com/help/4073229
KB 4073225 – SQL Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073225
KB 4073235 – Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities: https://support.microsoft.com/help/4073235
Securing Azure customers from CPU vulnerability: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
安全性更新導覽 : http://aka.ms/securityupdateguide