Windows 10 LTSB v. 1607 & Spectre: все еще нет поддержки ОС для смягчения

Question

У меня Dell XPS 15 9560 под управлением Windows 10 LTSB 2016 (сборка 1607). Процессор Intel i7 7700HQ. В течение почти месяца я безуспешно пытался обеспечить защиту этого компьютера от недавно обнаруженной уязвимости Spectre (CVE-2017-5715). Мне известно, что обновления микрокода / BIOS необходимы для полной реализации мер по устранению этой уязвимости, но сегодня это не моя проблема. Моя проблема заключается в том, что обновления Windows, которые должны адресовать этот CVE, по-видимому, не делают.

Microsoft выпустила 2 патча, связанных с этой проблемой. Первый, KB4056890, был выпущен в начале января. Другой, KB4057142, теперь заменил этот патч. Я также установил последнюю версию BIOS для этой машины, но это не относится к делу.

В любом случае, запуск нового командлета SpeculationControl для powershell показывает что-то, скорее касающееся:

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

BTIHardwarePresent             : False
BTIWindowsSupportPresent       : False
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : True

Акцент на эти 2 строки:

Поддержка ОС Windows для смягчения инъекций в ветви: False

BTIWindowsSupportPresent: False

Командлет Get-Hotfix от Powershell проверяет наличие последней версии исправлений для specter /meltdown:

<12:37:48 2 C:\> Get-HotFix

Source        Description      HotFixID      InstalledBy          InstalledOn
------        -----------      --------      -----------          -----------
...
BLAH-PC       Update           KB4057142     NT AUTHORITY\SYSTEM  1/26/2018 00:00:00
...

Насколько я понимаю, что независимо от состояния микрокода ЦП, эти строки должны иметь значение "истина" после применения исправления ОС. Я также попытался установить и снять ключи реестра, упомянутые в этой статье, под заголовком "Независимое отключение защиты от Варианта 2", но безрезультатно.

Почему эта полностью исправленная и обновленная копия Windows 10 по-прежнему не поддерживает смягчение последствий CVE-2017-5715? Что я могу сделать, чтобы включить поддержку этих мер по смягчению?

Answer 1

Мне известно, что обновления микрокода / BIOS необходимы для полной реализации мер по устранению этой уязвимости, но сегодня это не моя проблема. Моя проблема заключается в том, что обновления Windows, которые должны адресовать этот CVE, по-видимому, не делают.

Это действительно не должно быть проблемой. Микрокод, извлеченный Intel, необходим для смягчения варианта 2 «Призрака», так как без его установки в вашей системе исправления, выпущенные Microsoft, не могут быть использованы.

Наш собственный опыт показывает, что нестабильность системы в некоторых случаях может привести к потере или повреждению данных. 22 января Intel рекомендовала клиентам прекратить развертывание текущей версии микрокода на затронутых процессорах, пока они проводят дополнительное тестирование обновленного решения. Мы понимаем, что Intel продолжает исследовать потенциальное влияние текущей версии микрокода, и призываем клиентов постоянно пересматривать свои рекомендации для информирования о своих решениях ».

На этом этапе вам действительно не нужны исправления, написанные Intel, если вы установите текущее исправление, вы пожалеете об этом. Microsoft выпускает экстренное обновление выходного дня, чтобы удалить ошибочный патч Intel

В любом случае, запуск нового командлета SpeculationControl для PowerShell показывает что-то довольно интересное.

Это не должно касаться. Это то, что вы должны ожидать от системы, которая не получила требуемый микрокод для реализации шагов по смягчению, выполненных в ядре, которое использует определенную инструкцию.

Насколько я понимаю, что независимо от состояния микрокода ЦП, эти строки должны иметь значение «истина» после применения исправления ОС. Почему эта полностью исправленная и обновленная копия Windows 10 по-прежнему не поддерживает смягчение последствий CVE-2017-5715?

Вы ошибаетесь. 2017-5715 требуется микрокод. Без микрокода изменения ядра, сделанные соответствующими обновлениями, не могут использоваться и игнорируются.

Что я могу сделать, чтобы включить поддержку этих мер по смягчению?

Установите обновленную прошивку, когда она выйдет, но убедитесь, что вы делаете это только после того, как Intel выпустит обновленные исправления.

Я также попытался установить и снять ключи реестра, упомянутые в этой статье, под заголовком «Независимое отключение защиты от Варианта 2», но безрезультатно.

Этот ключ игнорируется, если вы не пропатчили свою прошивку, поэтому можно использовать требуемую прошивку. Он также будет использоваться, если у вас есть система AMD, которой у вас нет.

Почему эта полностью исправленная и обновленная копия Windows 10 по-прежнему не поддерживает смягчение последствий CVE-2017-5715?

Intel извлекла необходимый микрокод, а Microsoft выпустила дополнительное исправление, которое отключает текущий нестабильный код микрокода. Вариант 2 НЕ МОЖЕТ быть смягчен изменениями самого ядра. Вариант 2 Spectre требует обновления прошивки от Dell для получения микрокода. В настоящее время Intel не выпустила исправленный / исправленный микрокод.