關於稱為推測性執行旁路攻擊 (Speculative Execution Side-Channel attacks) 的緊急通告

對於近日被 Google 團隊 Zero Project 提前揭露一個名為"推測性執行旁路攻擊 (Speculative Execution Side-Channel Attacks)"針對 CPU (中央處理器) 漏洞 (該團隊原先計畫於一月九日對外披露),微軟於今天清晨正式對外堤出回應與建議,微軟建議所有客戶包含伺服器,個人電腦均應盡速完成硬 / 軟體的更新以便於維持在最安全的保護下。

除此之外,為了主動保護微軟的雲端平台用戶,因此 Azure 的用戶可能注意到一個緊急通知"我們計劃於台北時間 1 4 日上午 11:30 開始自動重啟受到該漏洞影響的虛擬機器",也是為了因應該漏洞之揭露所採取緊急安全性措施,以避免用戶受到該漏洞揭露而造成影響。


 

 

 

 

 

 

 

該漏洞造成之影響

該被稱為 (speculative execution side-channel attacks) 推測性執行旁路攻擊的漏洞共計有三種,影響眾多處理器以及作業系統,中央處理器包含 Intel, AMD,以及 ARM 都在影響範圍內;而必須注意的是,這個弱點也同時影響其他系統,包含 Android, Chrome, iOS, MacOS。

由於該攻擊的危險關鍵在於”訊息洩漏”。如果有心人士利用該漏洞進行攻擊,有可能導致系統上敏感訊息被不當揭露/存取。

針對該漏洞建議的處置措施

為了緩解該漏洞所造成之影響,微軟發布下列更新,提醒您,為了確保您的電腦處於最佳安全狀況避免該漏洞造成的影響,因此針對硬體firmware以及軟體的更新是必須的。同時我們也將同步採取必要的行動來保護我們的雲端服務。詳細請參閱以下說明:

 [針對雲端用戶]

確保客戶的安全永遠是我們的第一優先順序。我們正在採取積極措施,確保沒有 Azure 客戶暴露於這些漏洞。絕大多數 Azure 的基礎架構已經更新,以解決此漏洞。Azure 的某些部份仍在進行更新,需要重新開機客戶的 VM 才能使安全更新生效。

 

Azure 計畫性維護的通知,並且已經重新開機 VM 以應用此修復程式,因此不需要您再採取進一步的操作。
▪ 對於在 2018 年 1 月 4 日上午 11:30 以前尚未重新啟動的虛擬系統,微軟正在加快計畫性維護的程序,開始自動重新開機其餘受影響的虛擬系統。為開始加速該程序更新,某些客戶提供的「自助維護」視窗現已結束。
▪ 本次更新過程中,我們將維持 Availability Set、VM Scale Set 和 Cloud Services 的服務等級協定 (SLA) 承諾。這將減少對可用性的影響,並且只在任何給定時間重新開機 VM 的子集 (subset)。這將確保遵循 Azure 的高可用性指南的任何解決方案仍然可供您的客戶和使用者使用。

 

▪ 在此維護期間,將保留虛擬機器上的作業系統和資料磁片。您可以看到您的虛擬機器狀態,並且在您的 Azure Portal 上,Azure Service Health 中的Planned Maintenance 單元,了解重新開機是否已完成。
▪ 大多數 Azure 客戶不應感受到此更新對性能產生顯著影響。

 

[針對一般用戶]

 

截至目前為止 Microsoft 尚未收到任何利用此漏洞的攻擊訊息。Microsoft 正與包含晶片製造商、硬體 OEM 廠商以及應用軟體開發廠商等夥伴緊密合作,以保護客戶。

為了確保您取得全面的保護,因此Microsoft再次提醒您,為了確保您的電腦處於最佳安全狀況該漏洞造成的影響,,針對硬體 firmware 以及軟體的更新是必須的。這些更新範圍也包含了針對設備的微指令(microcode),以及在某些情況中需要防毒軟體廠商取得相關更新。

因應該漏洞,請立即參閱 Microsoft 安全性通告180002,該安全性通告解決了以下三種漏洞,包含:

▪   CVE-2017-5715 分支目錄注入 (branch target injection)

▪   CVE-2017-5753 邊界檢查略過 (bounds check bypass)

▪   CVE-2017-5754 惡意快取記憶體暫存加載 (rogue data cache load)

 

再次提醒您,由於該漏洞發生於硬體層面,因此為了確保您取得全面的保護,以下項目是必須進行的

▪   請立即與您的硬體廠商聯繫,以便於取得針對該漏洞的更新修正程式 (firmware)。

▪   請立即參閱 Microsoft 安全性通告180002 並進行軟體更新。

▪   若您的系統已經開啟自動化更新 (Windows Update),我們會主動在更新發布時,提供更新程式;但建議您再次確認,以確保安全。

▪   在某些情況下,您可能需要從防毒軟體廠商取得更新,請與您的防毒廠商聯繫與確認。

 

 [相關參考資源]

 

針對該漏洞,相關資源請參閱

Security Advisory 180002 – Vulnerability in CPU Microcode Could Allow Information Disclosure

KB 4073119 – Windows Client Guidance for IT Pros to protect against the speculative execution side-channel vulnerabilities

▪ KB 4072698 – Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

▪ KB 4072699 – Important Information regarding the Windows Security Updates Released January 2018 (A/V)

▪ KB 4073229 – Protect your device against the recent chip-related security vulnerability

▪ KB 4073225 – SQL Server Guidance to protect against the speculative execution side-channel vulnerabilities

▪ KB 4073235 – Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities

Securing Azure customers from CPU vulnerability

安全性更新導覽

相關文章