Leitfaden von Microsoft zur Risikominderung für die L1TF-Variante

ADV180018
Sicherheitsempfehlung

Veröffentlichung: 14. Aug. 2018

Zuletzt aktualisiert: 18. Juni 2019

Assigning CNA
Microsoft

Kurzzusammenfassung

Am 3. Januar 2018 hat Microsoft eine Sicherheitsempfehlung und Sicherheitsupdates für eine neue Klasse von Sicherheitsanfälligkeiten bei Hardware im Zusammenhang mit den als „Spectre“ und „Meltdown“ bezeichneten spekulativen ausführungsseitigen Channelangriffen (Speculative Execution Side-Channel Attacks) veröffentlicht. Microsoft ist eine neue Sicherheitsanfälligkeit bezüglich spekulativer ausführungsseitiger Channelangriffe bekannt, die als L1 Terminal Fault (L1TF) bezeichnet wird und der gemäß der nachfolgenden Tabelle mehrere CVEs zugewiesen wurden. Diese Sicherheitsanfälligkeit betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Intel unter: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html.

CVE Name Anwendbarkeit
CVE-2018-3615 L1 Terminal Fault Intel® Software Guard Extensions (SGX)
CVE-2018-3620 L1 Terminal Fault Betriebssystem (OS), Systemmanagementmodus (SMM)
CVE-2018-3646 L1 Terminal Fault Virtual Machine Manager (VMM)

Ein Angreifer, der L1TF erfolgreich ausnutzt, kann möglicherweise durch Zugriffsberechtigungen geschützte Daten über Vertrauensstellungsgrenzen hinweg lesen. In Umgebungen mit gemeinsam genutzten Ressourcen (z. B. in manchen Cloud Services-Konfigurationen) könnte ein virtueller Computer mithilfe dieser Sicherheitsanfälligkeit missbräuchlich auf Informationen auf einem anderen virtuellen Computer zugreifen. Ein Angreifer würde vorher Zugriff auf das System benötigen oder müsste Code im System ausführen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Eine technische Beschreibung für L1TF finden Sie in unserem Security Research & Defense (SRD)-Blog.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeit zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Weitere Informationen finden Sie im Abschnitt Kunden von Microsoft Cloud.

Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeit zu Angriffen auf Kunden genutzt wurde. Microsoft arbeitet auch weiterhin eng mit Branchenpartnern einschließlich Prozessorchipherstellern, Hardware-OEMs und App-Herstellern zusammen, um Kunden vor der als spekulative ausführungsseitige Channelangriffe bezeichneten Klasse von Hardwaresicherheitsanfälligkeiten zu schützen.

Empfohlene Maßnahmen

  1. Der beste Schutz besteht darin, dafür zu sorgen, dass Ihre Computer immer auf dem neuesten Stand sind. Hierzu können Sie die automatischen Updates verwenden. Hier erfahren Sie, wie Sie automatische Updates aktivieren.

  2. Enterprise-Kunden sollten:

    1. Sich diese Sicherheitsempfehlung bezüglich Anweisungen basierend auf dem Produkt oder dem Service im Detail anschauen und sich für Sicherheitsbenachrichtigungen per E-Mail registrieren, um über inhaltliche Änderungen dieser Sicherheitsempfehlung informiert zu werden. Weitere Informationen finden Sie unter Technische Sicherheitsbenachrichtigungen von Microsoft.

    2. Eine Bestandsaufnahme der im gesamten Unternehmen verwendeten Prozessoren durchführen, um das Risikopotenzial zu bestimmen und die erforderlichen Schutzmaßnahmen für L1TF zu ergreifen.

    3. Eine Bestandsaufnahme der Verwendung der virtualisierungsbasierten Sicherheit (VBS) im gesamten Unternehmen und insbesondere bei Clientsystemen durchführen, um die erforderlichen Schutzmaßnahmen zu ergreifen.

    4. Das Risiko durch L1TF für Unternehmensumgebungen auswerten. Im Allgemeinen erfordert jedes System, für das Schutzmaßnahmen für CVE-2017-5715 (Spectre Variante 2, Branch Target Injection) als erforderlich eingestuft wurden, entsprechende Schutzmaßnahmen für L1TF.

  3. Überprüfen Sie den Schutzstatus für CVE-2018-3620 mithilfe des PowerShell-Skripts „Get-SpeculationControlSettings“. Weitere Informationen und das PowerShell-Skript zum Herunterladen finden Sie unter Grundlegendes zur Ausgabe des PowerShell-Skripts „Get-SpeculationControlSettings“.

Potenzielle Leistungseinbußen

Bei Tests hat Microsoft in Abhängigkeit von der Systemkonfiguration und den erforderlichen Risikominderungen gewisse Leistungseinbußen aufgrund dieser Risikominderungen festgestellt. Für die meisten Geräte von Heimanwendern konnten wir nach der Installation der Updates keine spürbare Leistungsbeeinträchtigung feststellen.  Kunden, die die virtualisierungsbasierte Sicherheit (VBS) oder Hyper-V-Versionen vor Windows Server 2016 verwenden, müssen möglicherweise Hyperthreading deaktivieren, um vollständig vor dem Risiko durch L1 Terminal Fault (L1TF) geschützt zu sein, was wiederum zu einer Leistungsbeeinträchtigung führt. Die Leistungsbeeinträchtigung ist abhängig von der Hardware und den im System ausgeführten Workloads. Für Geräte und Server ist Hyperthreading normalerweise aktiviert, weshalb die Leistungsbeeinträchtigung davon abhängt, ob der Benutzer oder Administrator den Schritt zum Deaktivieren von Hyperthreading im System ausführt. Wie bereits erwähnt, gibt es in Windows Server 2016 eine Option zum Aktivieren des Hyper-V-Core-Schedulers, wodurch das Risiko durch den L1TF-Angriffsvektor reduziert wird und gleichzeitig Hyperthreading aktiviert bleibt, was zu einer minimalen Leistungsbeeinträchtigung führt. Windows Server 2019 verwendet standardmäßig den Core Scheduler. Informationen zu Leistungsbeeinträchtigungen von Intel finden Sie hier: www.intel.com/securityfirst.

Details der Empfehlung

Beschreibung der Sicherheitsanfälligkeiten

Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten wie etwa L1 Terminal Fault (L1TF) kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. Detaillierte Informationen zu betroffenen Szenarien und zur Vorgehensweise von Microsoft, um das Risiko von L1TF zu mindern, finden Sie in unserem Security Research & Defense (SRD)-Blog. In der folgenden Tabelle finden Sie eine Zusammenfassung der potenziellen Relevanz von L1TF für verschiedene Angriffsszenarien sowie die entsprechenden CVEs:

Angriffskategorie Angriffsszenario L1TF-CVE
Inter-VM Hypervisor-zu-Gast CVE-2018-3646
Host-zu-Gast CVE-2018-3646
Gast-zu-Gast CVE-2018-3646
Intra-OS Kernel-zu-Benutzer CVE-2018-3620
Prozess-zu-Prozess CVE-2018-3620
Prozessintern CVE-2018-3620
Enclave SGX-zu-beliebig CVE-2018-3615
VSM-zu-beliebig CVE-2018-3646

Kunden von Microsoft Cloud

Microsoft hat Risikominderungen für seine Cloud Services bereitgestellt, die die Trennung zwischen den Kunden stärken.

Kunden, die nicht vertrauenswürdigen Code in ihren Anwendungen hosten, sollten den Leitfaden zur Reduzierung des Risikos von Sicherheitsanfälligkeiten bezüglich spekulativer ausführungsseitiger Channelangriffe in Azure lesen.

Kunden von Azure Stack

Kunden von Azure Stack sollten den Artikel Anweisungen für die Risikominderung von „L1 Terminal Fault“ in Azure Stack lesen.

Kunden von Microsoft Windows-Clients

Kunden, die Windows-Clientbetriebssysteme auf Systemen mit betroffenen Intel-Prozessoren verwenden, müssen in Abhängigkeit von der Systemkonfiguration möglicherweise sowohl Firmware (Microcode)- als auch Softwareupdates anwenden. Für die meisten Geräte, auf denen Windows-Clientbetriebssysteme ausgeführt werden, sind für den Schutz jedoch nur Windows-Softwareupdates erforderlich. Wir haben keine Leistungsbeeinträchtigung aufgrund dieser Änderungen festgestellt. In der folgenden Tabelle finden Sie für die einzelnen CVEs eine Übersicht über die Anforderungen für den vollständigen Schutz:

CVE Änderungen bei Windows Microcode erforderlich? Zusätzliche Schritte erforderlich?
CVE-2018-3620 Kernel-Updates Nein Nein*
CVE-2018-3646 Hypervisor-Updates Ja** Ja bei Verwendung von VBS oder Hyper-V

* Schutz für CVE-2018-3620 basiert auf dem Schutz für CVE-2017-5754 (Meltdown). Wenn der Schutz für CVE-2017-5754 aktiviert ist, aktiviert Windows automatisch den Schutz für CVE-2018-3620. Der Schutz für CVE-2017-5754 (Meltdown) ist auf Windows-Clients standardmäßig aktiviert. Kunden, die den Schutz für CVE-2017-5754 deaktiviert haben, müssen ihn erneut aktivieren, um vor CVE-2018-3620 geschützt zu sein. (Siehe FAQ Nr. 2)

** Der erforderliche Microcode ist mit dem Microcode für CVE-2018-3639 und CVE-2018-3640 identisch. Microsoft stellt von Intel geprüfte Microcodeupdates für Windows 10-Betriebssysteme zur Verfügung. Aktuelle Microcodeupdates von Intel finden Sie im Microsoft Knowledge Base-Artikel 4093836.

Kunden, die Hyper-V oder auf der virtualisierungsbasierten Sicherheit (VBS) basierende Features verwenden, müssen möglicherweise zusätzliche Maßnahmen ergreifen, um vollständig geschützt zu sein:

  1. Installation von Windows-Sicherheitsupdates (siehe die Tabelle Betroffene Produkte in dieser Sicherheitsempfehlung).
  2. Installation von durch den Geräte-OEM bereitgestellten Firmwareupdates.
  3. Deaktivieren von Hyperthreading (siehe FAQ Nr. 1). Hinweis: Durch Deaktivieren von Hyperthreading kann die Systemleistung beeinträchtigt werden. Weitere Informationen hierzu finden Sie im Leitfaden von Intel unter www.intel.com/securityfirst.

Die virtualisierungsbasierte Sicherheit (VBS) von Windows ist grundlegend für die Sicherheit von Windows 10. Alle VBS-Features einschließlich durch Hypervisor erzwungener Codeintegrität (Hypervisor-enforced Code Integrity, HVCI) und VBS-Enclaves sind auf Vertraulichkeit angewiesen, um eine strikte Sicherheitsbegrenzung aufrechtzuerhalten. Die L1TF-Sicherheitsanfälligkeit beinhaltet das Risiko, dass die Vertraulichkeit von geheimen VBS-Informationen mittels eines spekulativen ausführungsseiten Channelangriffs kompromittiert werden. Dadurch würde die Sicherheitsbegrenzung von VBS geschwächt. Trotz dieses erhöhten Risikos bietet VBS dennoch wertvolle Sicherheitsvorteile und reduziert das Risiko einer Reihe von Angriffen bei aktiviertem Hyperthreading (HT). Deshalb sollte VBS auf Systemen mit aktiviertem HT weiterhin verwendet werden. Kunden, die das potenzielle Risiko der L1TF-Sicherheitsanfälligkeit für die Vertraulichkeit von VBS eliminieren möchten, sollten möglicherweise HT deaktivieren, um dieses zusätzliche Risiko zu reduzieren.

Benutzer von Windows-Clientbetriebssystemen, die Hyper-V für die Sicherheitsgarantien mittels VM-Isolation verwenden, sollten HT deaktivieren, um vor L1TF geschützt zu sein.

Kunden von Microsoft Windows Server

Kunden, die Windows-Serverbetriebssysteme verwenden, müssen in Abhängigkeit von der Systemkonfiguration möglicherweise sowohl Firmware (Microcode)- als auch Softwareupdates anwenden. In der folgenden Tabelle finden Sie für die einzelnen CVEs eine Übersicht über die Anforderungen für den vollständigen Schutz:

CVE Windows Server-Änderungen Microcode erforderlich? Zusätzliche Schritte erforderlich?
CVE-2018-3620 Kernel-Updates Nein Windows Server 2019: Nein*
Windows Server 2016 oder früher: Ja*
CVE-2018-3646 Hypervisor-Updates Ja** Windows Server 2019: Ja bei Verwendung von VBS und aktiviertem Hyperthreading***
Windows Server 2016 oder früher: Ja bei Verwendung von VBS oder Hyper-V und aktiviertem Hyperthreading

* Schutz für CVE-2018-3620 basiert auf dem Schutz für CVE-2017-5754 (Meltdown). Wenn der Schutz für CVE-2017-5754 aktiviert ist, aktiviert Windows automatisch den Schutz für CVE-2018-3620. Der Schutz für CVE-2017-5754 ist auf Windows Server 2019 standardmäßig aktiviert und auf Windows Server 2016 und früheren Versionen standardmäßig deaktiviert. Für den Schutz für CVE-2018-3620 müssen Kunden den Schutz für CVE-2017-5754 aktivieren, falls dieser deaktiviert ist. (Siehe FAQ Nr. 2).

** Der erforderliche Microcode ist mit dem Microcode für CVE-2018-3639 und CVE-2018-3640 identisch. Microsoft stellt von Intel geprüfte Microcodeupdates für Windows Server 2016-Betriebssysteme zur Verfügung. Aktuelle Microcodeupdates von Intel finden Sie im Microsoft Knowledge Base-Artikel 4093836.

*** Windows Server 2019 verwendet standardmäßig den Core Scheduler als den Hypervisorplanertyp. Frühere Versionen von Windows Server verwenden den klassischen Planer. Server, die Hyper-V mit Core Scheduler verwenden, müssen Hyperthreading zum Schutz vor L1TF nicht deaktivieren.

Ausführliche Anweisungen zu den erforderlichen Maßnahmen für Kunden von Windows Server finden Sie im Microsoft Knowledge Base-Artikel 4457951.

Kunden von Microsoft Surface

Kunden, die Surface- und Surface Book-Produkte von Microsoft verwenden, müssen sich an die in dieser Sicherheitsempfehlung beschriebenen Anweisungen für Windows-Clients halten. Weitere Informationen zu den betroffenen Surface-Produkten und zur Verfügbarkeit der Microcodeupdates finden Sie im Microsoft Knowledge Base-Artikel 4073065.

Kunden von Microsoft HoloLens

Microsoft HoloLens ist nicht von L1TF betroffen, da kein betroffener Intel-Prozessor verwendet wird.

Häufig gestellte Fragen (FAQ)

1. Wie deaktiviere ich Hyperthreading auf meinem Gerät?

Die erforderlichen Schritte zum Deaktivieren von Hyperthreading variieren je nach OEM, sind jedoch im Allgemeinen Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

2. Wie aktiviere ich die Risikominderung für CVE-2017-5754 (Meltdown)?

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Eine unsachgemäße Bearbeitung der Registrierung kann jedoch schwerwiegende Probleme zur Folge haben. Halten Sie sich deshalb sorgfältig an diese Schritte. Für zusätzlichen Schutz sollten Sie eine Sicherungskopie der Registrierung erstellen, bevor Sie sie bearbeiten. Falls ein Problem auftritt, können Sie dann die Registrierung wiederherstellen. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im Microsoft Knowledge Base-Artikel 322756, Sichern und Wiederherstellen der Registrierung in Windows.

So aktivieren Sie den Schutz für CVE-2017-5715 und CVE-2017-5754

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Hinweis: Falls Sie die Schutzmaßnahme für Speculative Store Bypass (CVE-2018-3639) gemäß der Anleitung in der Sicherheitsempfehlung 180012 aktiviert haben, sind keine weiteren Maßnahmen erforderlich, da mit den in ADV180012 enthaltenen Registrierungsschlüsseleinstellungen auch die Schutzmaßnahmen für CVE-2017-5754 aktiviert werden.

3. Was ist VBS und woher weiß ich, ob ich dieses Feature verwende?

Die virtualisierungsbasierte Sicherheit (VBS) verwendet Hardwarevirtualisierungsfeatures, um im regulären Betriebssystem einen sicheren Arbeitsspeicherbereich zu erstellen und zu isolieren, und wird von Sicherheitsfeatures wie etwa Device Guard, Application Guard, Credential Guard und Hypervisor-Codeintegrität (HVCI) verwendet. VBS wird für die folgenden Windows-Versionen unterstützt:

  • Windows 10, Version 1809
  • Windows 10, Version 1803
  • Windows 10, Version 1709
  • Windows 10, Version 1703
  • Windows 10, Version 1607
  • Windows Server 2016
  • Windows Server, Version 1709
  • Windows Server, Version 1803
  • Windows Server 2019

Um festzustellen, ob VBS aktiviert ist, führen Sie MSINFO32.EXE aus, und suchen Sie im Knoten „Systemübersicht“ nach dem Eintrag „Virtualisierungsbasierte Sicherheit“.

Ausnutzbarkeit

Die folgende Tabelle enthält eine Bewertung der Ausnutzbarkeit dieser Sicherheitsanfälligkeit zum Zeitpunkt der ursprünglichen Veröffentlichung.

Publicly disclosed
Nein
Exploited
Nein
Exploitability assessment
Sicherheitslücke ist unwahrscheinlicher

Danksagung

  • Microsoft would like to thank Raoul Strackx, Jo Van Bulck, and Frank Piessens of imec-DistriNet, KU Leuven; Marina Minkin and Mark Silberstein of Technion; Ofir Weisse, Daniel Genkin, Baris Kasikci, and Thomas F. Wenisch of University of Michigan; Yuval Yarom, University of Adelaide and Data61; Lei Shi of Qihoo360 CERT; Leibo Liu, Ao Luo, Bowei Zhang, and Guanhua Li of Tsinghua University for reporting this and working with us on coordinated disclosure.
Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Sicherheitsupdates

Besuchen Sie die Seite Microsoft Lebenszyklusinformationen, um den Supportlebenszyklus für Ihre Softwareversion oder zu ermitteln.

Veröffentlichungsdatum Descending
All results loaded
Alle 29 Zeilen geladen

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

Wie zufrieden sind Sie mit dem MSRC-Leitfaden für Sicherheitsupdates?