8 1 月, 2018 12:40 上午

關於稱為推測性執行旁路攻擊 ( speculative execution side-channel attacks ) 的緊急通告

By

對於近日被 Google 團隊 Zero Project 提前揭露一個名為 ” 推測性執行旁路攻擊 ( speculative execution side-channel attacks ) ” 針對 CPU ( 中央處理器 ) 漏洞 ( 該團隊原先計畫於一月九日對外披露 ),微軟於今天清晨正式對外堤出回應與建議,微軟建議所有客戶包含伺服器,個人電腦均應盡速完成硬 / 軟體的更新以便於維持在最安全的保護下。

除此之外,為了主動保護微軟的雲端平台用戶,因此 Azure 的用戶可能注意到一個緊急通知 ” 我們計劃於台北時間 1 月 4 日上午 11:30 開始自動重啟受到該漏洞影響的虛擬機器 ”,也是為了因應該漏洞之揭露所採取緊急安全性措施,以避免用戶受到該漏洞揭露而造成影響。

該漏洞造成之影響

該被稱為 ( speculative execution side-channel attacks ) 推測性執行旁路攻擊的漏洞共計有三種,影響眾多處理器以及作業系統,中央處理器包含 Intel、 AMD 以及 ARM 都在影響範圍內;而必須注意的是,這個弱點也同時影響其他系統,包含Android, Chrome, iOS, MacOS。

由於該攻擊的危險關鍵在於 ” 訊息洩漏 ”。如果有心人士利用該漏洞進行攻擊,有可能導致系統上敏感訊息被不當揭露 / 存取。

針對該漏洞建議的處置措施

為了緩解該漏洞所造成之影響,微軟發布下列更新,提醒您,為了確保您的電腦處於最佳安全狀況避免該漏洞造成的影響,因此針對硬體 firmware 以及軟體的更新是必須的。同時我們也將同步採取必要的行動來保護我們的雲端服務。詳細請參閱以下說明:

[ 針對雲端用戶 ]

確保客戶的安全永遠是我們的第一優先順序。我們正在採取積極措施,確保沒有 Azure 客戶暴露於這些漏洞。絕大多數 Azure 的基礎架構已經更新,以解決此漏洞。Azure 的某些部份仍在進行更新,需要重新開機客戶的 VM 才能使安全更新生效。

  •  Azure 計畫性維護的通知,並且已經重新開機 VM 以應用此修復程式,因此不需要您再採取進一步的操作。
  • 對於在 2018 年 1 月 4 日上午 11:30 以前尚未重新啟動的虛擬系統,微軟正在加快計畫性維護的程序,開始自動重新開機其餘受影響的虛擬系統。為開始加速該程序更新,某些客戶提供的「自助維護」視窗現已結束。
  • 本次更新過程中,我們將維持 Availability Set、VM Scale Set 和 Cloud Services 的服務等級協定 ( SLA ) 承諾。這將減少對可用性的影響,並且只在任何給定時間重新開機 VM 的子集 ( subset )。這將確保遵循 Azure 的高可用性指南的任何解決方案仍然可供您的客戶和使用者使用。
  •  在此維護期間,將保留虛擬機器上的作業系統和資料磁片。您可以看到您的虛擬機器狀態,並且在您的 Azure Portal 上,Azure Service Health 中的 Planned Maintenance 單元,了解重新開機是否已完成。
  • 大多數 Azure 客戶不應感受到此更新對性能產生顯著影響。

[ 針對一般用戶

截至目前為止 Microsoft 尚未收到任何利用此漏洞的攻擊訊息。Microsoft 正與包含晶片製造商、硬體 OEM 廠商以及應用軟體開發廠商等夥伴緊密合作,以保護客戶。

為了確保您取得全面的保護,因此 Microsoft 再次提醒您,為了確保您的電腦處於最佳安全狀況該漏洞造成的影響,針對硬體 firmware 以及軟體的更新是必須的。這些更新範圍也包含了針對設備的微指令 ( microcode ),以及在某些情況中需要防毒軟體廠商取得相關更新。

因應該漏洞,請立即參閱 Microsoft 安全性通告 180002,該安全性通告解決了以下三種漏洞,包含 :

  • CVE-2017-5715 分支目錄注入 ( branch target injection )
  • CVE-2017-5753 邊界檢查略過 ( bounds check bypass )
  • CVE-2017-5754 惡意快取記憶體暫存加載 ( rogue data cache load )

再次提醒您,由於該漏洞發生於硬體層面,因此為了確保您取得全面的保護,以下項目是必須進行的:

  • 請立即與您的硬體廠商聯繫,以便於取得針對該漏洞的更新修正程式 ( firmware )。
  • 請立即參閱 Microsoft 安全性通告 180002 並進行軟體更新。
  • 若您的系統已經開啟自動化更新 ( Windows Update ),我們會主動在更新發布時,提供更新程式;但建議您再次確認,以確保安全。
  • 在某些情況下,您可能需要從防毒軟體廠商取得更新,請與您的防毒廠商聯繫與確認。

 [ 相關參考資源 ]

針對該漏洞,相關資源請參閱:
Security Advisory 180002 – Vulnerability in CPU Microcode Could Allow Information Disclosure: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

KB 4073119 – Windows Client Guidance for IT Pros to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073119

KB 4072698 – Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4072698

KB 4072699 – Important Information regarding the Windows Security Updates Released January 2018 (A/V): https://support.microsoft.com/help/4072699

KB 4073229 – Protect your device against the recent chip-related security vulnerability: https://support.microsoft.com/help/4073229

KB 4073225 – SQL Server Guidance to protect against the speculative execution side-channel vulnerabilities: https://support.microsoft.com/help/4073225

KB 4073235 – Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities: https://support.microsoft.com/help/4073235

Securing Azure customers from CPU vulnerability: https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

安全性更新導覽 : http://aka.ms/securityupdateguide