Windows 10 LTSB v. 1607 e Spectre: Ainda sem suporte do SO para mitigação

Navegue suas respostas
0

Tenho um Dell XPS 15 9560 com o Windows 10 LTSB 2016 (build 1607). A CPU é uma Intel i7 7700HQ. Há quase um mês que venho tentando garantir que esta máquina esteja protegida contra a vulnerabilidade do Specter recentemente descoberta (CVE-2017-5715), sem sucesso. Estou ciente de que as atualizações de microcódigo / BIOS são necessárias para implementar totalmente a atenuação dessa vulnerabilidade, mas isso não é da minha conta hoje. Meu problema é que as atualizações do Windows que deveriam abordar este CVE aparentemente não o fazem.

A Microsoft lançou 2 patches até o momento relacionados a esse problema - o primeiro, KB4056890 foi lançado no início de janeiro. Outro, KB4057142 , substituiu esse patch. Eu também instalei o BIOS mais recente para esta máquina, mas isso não vem ao caso.

Em ambos os casos, a execução do novo cmdlet SpeculationControl para o powershell mostra algo bastante relacionado a: 

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

BTIHardwarePresent             : False
BTIWindowsSupportPresent       : False
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : True

Ênfase nessas duas linhas:

O suporte do sistema operacional Windows para a atenuação da injeção de destino da filial está presente: False

BTIWindowsSupportPresent: falso

O cmdlet Get-Hotfix do Powershell verifica se a versão mais recente dos patches de espectro / fusão está presente: 

<12:37:48 2 C:\> Get-HotFix

Source        Description      HotFixID      InstalledBy          InstalledOn
------        -----------      --------      -----------          -----------
...
BLAH-PC       Update           KB4057142     NT AUTHORITY\SYSTEM  1/26/2018 00:00:00
...

Meu entendimento é que, independentemente do estado do microcódigo da CPU, essas linhas devem ler 'true' assim que o patch do sistema operacional for aplicado. Eu também tentei definir e desativar as chaves de registro mencionadas neste artigo sob o título" Desabilitar a mitigação contra o Specter Variant 2 independentemente ", sem efeito algum.

Por que essa cópia totalmente atualizada e atualizada do Windows 10 ainda não é capaz de dar suporte à mitigação do CVE-2017-5715? O que posso fazer para ativar o suporte para essas atenuações?

    
por Fopedush 30.01.2018 / 21:11

1 resposta

1

I'm aware that microcode/bios updates are required to fully implement the mitigation for this vulnerability, but that isn't my concern today. My problem is that the Windows updates that are supposed to address this CVE apparently do not.

Realmente não deve ser uma preocupação. O microcódigo que foi extraído pela Intel é necessário para mitigar a variante Specter 2, sem que ela seja instalada em seu sistema, os patches lançados pela Microsoft não podem ser usados.

Our own experience is that system instability can in some circumstances cause data loss or corruption. On January 22nd Intel recommended that customers stop deploying the current microcode version on impacted processors while they perform additional testing on the updated solution. We understand that Intel is continuing to investigate the potential impact of the current microcode version and encourage customers to review their guidance on an ongoing basis to inform their decisions."

Neste ponto, você realmente não quer as correções que a Intel escreveu, se você instalasse a correção atual, você iria se arrepender. A Microsoft lança uma atualização de fim de semana de emergência para remover o patch com bugs da Intel

In either case, running the new SpeculationControl cmdlet for PowerShell shows something rather concerning.

Não deveria ser preocupante. É o que você deve esperar de um sistema que não tenha recebido o microcódigo necessário para implementar as etapas de mitigação feitas no kernel que usa uma instrução específica.

My understanding is that regardless of the state of the CPU microcode, these lines should read 'true' once the OS patch has been applied. Why is this fully patched and updated copy of Windows 10 still not able to support mitigation of CVE-2017-5715?

Você está enganado. 2017-5715 requer um microcódigo. Sem o microcódigo, as alterações do kernel feitas pela (s) atualização (ões) em questão não podem ser usadas e são ignoradas.

WhatcanIdotoenablesupportforthesemitigations?

Instaleofirmwareatualizado,quandoeleforlançado,mascertifique-sedefazerissosomentedepoisqueaIntelliberarascorreçõesatualizadas.

I'vealsotriedsettingandunsettingtheregistrykeysmentionedinthisarticleundertheheading"Disable mitigation against Spectre Variant 2 independently", to no effect at all.

Esta chave é ignorada, se você não tiver corrigido seu firmware, para que o firmware necessário possa ser usado. Ele também seria usado se você tivesse um sistema AMD que você não possui.

Why is this fully patched and updated copy of Windows 10 still not able to support mitigation of CVE-2017-5715?

A Intel adquiriu o microcódigo necessário e a Microsoft lançou um patch opcional que desativa o código de microcódigo instável atual. A variante 2 NÃO PODE ser mitigada com as próprias alterações do kernel. A variante 2 do Spectre requer um firmware atualizado pela Dell para receber o microcódigo. A Intel não lançou o microcódigo fixo / corrigido neste momento.

    
por 30.01.2018 / 21:29

Tags

Túnel ssh invertido com meias Limite de comprimento do lote de entrada do usuário