對於近日被 Google 團隊 Zero Project 提前揭露一個名為 ” 推測性執行旁路攻擊 ( speculative execution side-channel attacks ) ” 針對 CPU ( 中央處理器 ) 漏洞 ( 該團隊原先計畫於一月九日對外披露 )，微軟於今天清晨正式對外堤出回應與建議，微軟建議所有客戶包含伺服器，個人電腦均應盡速完成硬 / 軟體的更新以便於維持在最安全的保護下。

除此之外，為了主動保護微軟的雲端平台用戶，因此 Azure 的用戶可能注意到一個緊急通知 ” 我們計劃於台北時間 1 月 4 日上午 11:30 開始自動重啟受到該漏洞影響的虛擬機器 ”，也是為了因應該漏洞之揭露所採取緊急安全性措施，以避免用戶受到該漏洞揭露而造成影響。

該漏洞造成之影響

該被稱為 ( speculative execution side-channel attacks ) 推測性執行旁路攻擊的漏洞共計有三種，影響眾多處理器以及作業系統，中央處理器包含 Intel、 AMD 以及 ARM 都在影響範圍內；而必須注意的是，這個弱點也同時影響其他系統，包含Android, Chrome, iOS, MacOS。

由於該攻擊的危險關鍵在於 ” 訊息洩漏 ”。如果有心人士利用該漏洞進行攻擊，有可能導致系統上敏感訊息被不當揭露 / 存取。

針對該漏洞建議的處置措施

為了緩解該漏洞所造成之影響，微軟發布下列更新，提醒您，為了確保您的電腦處於最佳安全狀況避免該漏洞造成的影響，因此針對硬體 firmware 以及軟體的更新是必須的。同時我們也將同步採取必要的行動來保護我們的雲端服務。詳細請參閱以下說明:

[ 針對雲端用戶 ]

確保客戶的安全永遠是我們的第一優先順序。我們正在採取積極措施，確保沒有 Azure 客戶暴露於這些漏洞。絕大多數 Azure 的基礎架構已經更新，以解決此漏洞。Azure 的某些部份仍在進行更新，需要重新開機客戶的 VM 才能使安全更新生效。

•  Azure 計畫性維護的通知，並且已經重新開機 VM 以應用此修復程式，因此不需要您再採取進一步的操作。
• 對於在 2018 年 1 月 4 日上午 11:30 以前尚未重新啟動的虛擬系統，微軟正在加快計畫性維護的程序，開始自動重新開機其餘受影響的虛擬系統。為開始加速該程序更新，某些客戶提供的「自助維護」視窗現已結束。
• 本次更新過程中，我們將維持 Availability Set、VM Scale Set 和 Cloud Services 的服務等級協定 ( SLA ) 承諾。這將減少對可用性的影響，並且只在任何給定時間重新開機 VM 的子集 ( subset )。這將確保遵循 Azure 的高可用性指南的任何解決方案仍然可供您的客戶和使用者使用。
•  在此維護期間，將保留虛擬機器上的作業系統和資料磁片。您可以看到您的虛擬機器狀態，並且在您的 Azure Portal 上，Azure Service Health 中的 Planned Maintenance 單元，了解重新開機是否已完成。
• 大多數 Azure 客戶不應感受到此更新對性能產生顯著影響。

[ 針對一般用戶] 

截至目前為止 Microsoft 尚未收到任何利用此漏洞的攻擊訊息。Microsoft 正與包含晶片製造商、硬體 OEM 廠商以及應用軟體開發廠商等夥伴緊密合作，以保護客戶。

為了確保您取得全面的保護，因此 Microsoft 再次提醒您，為了確保您的電腦處於最佳安全狀況該漏洞造成的影響，針對硬體 firmware 以及軟體的更新是必須的。這些更新範圍也包含了針對設備的微指令 ( microcode )，以及在某些情況中需要防毒軟體廠商取得相關更新。

因應該漏洞，請立即參閱 Microsoft 安全性通告 180002，該安全性通告解決了以下三種漏洞，包含 :

• CVE-2017-5715 分支目錄注入 ( branch target injection )
• CVE-2017-5753 邊界檢查略過 ( bounds check bypass )
• CVE-2017-5754 惡意快取記憶體暫存加載 ( rogue data cache load )

再次提醒您，由於該漏洞發生於硬體層面，因此為了確保您取得全面的保護，以下項目是必須進行的：

• 請立即與您的硬體廠商聯繫，以便於取得針對該漏洞的更新修正程式 ( firmware )。
• 請立即參閱 Microsoft 安全性通告 180002 並進行軟體更新。
• 若您的系統已經開啟自動化更新 ( Windows Update )，我們會主動在更新發布時，提供更新程式；但建議您再次確認，以確保安全。
• 在某些情況下，您可能需要從防毒軟體廠商取得更新，請與您的防毒廠商聯繫與確認。

 [ 相關參考資源 ]

針對該漏洞，相關資源請參閱：
Security Advisory 180002 – Vulnerability in CPU Microcode Could Allow Information Disclosure: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

KB 4073119 – Windows Client Guidance for IT Pros to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073119

KB 4072698 – Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4072698

KB 4072699 – Important Information regarding the Windows Security Updates Released January 2018 (A/V): https://support.microsoft.com/help/4072699

KB 4073229 – Protect your device against the recent chip-related security vulnerability: https://support.microsoft.com/help/4073229

KB 4073225 – SQL Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073225

KB 4073235 – Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities: https://support.microsoft.com/help/4073235

Securing Azure customers from CPU vulnerability: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

安全性更新導覽 : http://aka.ms/securityupdateguide