Azure Stack-Leitfaden zum Schutz vor Denkausführungs-Side-Channel-Sicherheitsrisiken

Dieser Artikel enthält häufig gestellte Fragen zu Azure Stack und empfohlene Maßnahmen zum Schutz vor den Sicherheitsrisiken bei der ausführungsseitigen Ausführung.

Ursprüngliche Produktversion:   Azure Stack Hub
Ursprüngliche KB-Nummer:   4073418

Zusammenfassung

Microsoft ist sich einer neuen öffentlich offengelegten Klasse von Sicherheitsrisiken bewusst, die als "angriffe auf die ausführungsseitige Kanalausführung" bezeichnet werden und sich auf viele moderne Prozessoren und Betriebssysteme wie Intel, AMD und ARM auswirken.

Microsoft hat keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsrisiken zu diesem Zeitpunkt verwendet wurden, um Kunden anzugreifen. Microsoft arbeitet weiterhin eng mit Branchenpartnern zusammen, einschließlich Chipherstellern, Hardware-OEMs und App-Anbietern, um Kunden zu schützen. Um alle verfügbaren Schutzmaßnahmen zu erhalten, sind Hardware- oder Firmwareupdates und Softwareupdates erforderlich. Dazu gehören Microcode von Geräte-OEMs und in einigen Fällen Updates für Antivirensoftware.

Diese Empfehlung behebt die folgenden Sicherheitsrisiken:

  • CVE-2017-5715 (Branch Target Injection)
  • CVE-2017-5753 (Umgehung der Grenzen der Überprüfung)
  • CVE-2017-5754 (Laden von nicht autorisiertem Datencache)

Weitere Informationen zu dieser Klasse von Sicherheitsrisiken finden Sie unter ADV180002.

Übersicht

Die folgenden Abschnitte helfen Ihnen bei der Identifizierung, Entschärfung und Behebung von Azure Stack-Umgebungen, die von den Sicherheitsrisiken betroffen sind, die in der Microsoft Security Advisory ADV180002identifiziert werden. Um diese Probleme zu beheben, arbeitet Microsoft in Zusammenarbeit mit der Hardwarebranche an der Entwicklung von Gegenmaßnahmen und Anleitungen.

Azure Stack-Kunden sollten die folgenden Maßnahmen ergreifen, um die Azure Stack-Infrastruktur vor den Sicherheitsrisiken zu schützen:

  1. Wenden Sie das Azure Stack 1712-Update an. Anweisungen zum Anwenden dieses Updates auf Ihr integriertes Azure Stack-System finden Sie in den Versionshinweisen zum Azure Stack 1712-Update.
  2. Installieren Sie Firmwareupdates von Ihrem Azure Stack OEM-Anbieter, nachdem die Installation des Azure Stack 1712-Updates abgeschlossen ist. Informationen zum Herunterladen und Anwenden der Updates finden Sie auf der Website Ihres OEM-Anbieters.
  3. Einige Variationen dieser Sicherheitsrisiken gelten auch für die virtuellen Computer (VMs), die im Mandantenbereich ausgeführt werden. Kunden sollten weiterhin bewährte Sicherheitsmethoden für ihre VM-Images anwenden und alle verfügbaren Betriebssystemupdates auf die VM-Images anwenden, die auf Azure Stack ausgeführt werden. Wenden Sie sich bei Bedarf an den Anbieter Ihrer Betriebssysteme, um Updates und Anweisungen zu erhalten. Für Windows VM-Kunden wurde jetzt eine Anleitung veröffentlicht, die in diesem Sicherheitsupdatehandbuchverfügbar ist.

Häufig gestellte Fragen

Q1. Wie kann ich feststellen, ob mein Azure-Stapel von dieser Sicherheitsrisikoklasse betroffen ist?
A1: Alle integrierten Azure Stack-Systeme sind von der Klasse der Sicherheitsrisiken betroffen, die in der MSRC-Sicherheitsempfehlung ADV180002beschrieben sind.

F2. Wo finde ich das Azure Stack-Update, um diese Klasse von Sicherheitsrisiken zu beheben?
A2: Anweisungen zum Herunterladen und Anwenden dieses Updates auf Ihr integriertes Azure Stack-System finden Sie in den Versionshinweisen zum Azure Stack 1712-Update. Weitere Informationen zu Updates für Microsoft Azure Stack finden Sie unter Update Package Release Cadence.

F3. Wo finde ich die Firmwareupdates für mein integriertes Azure Stack-System?
A3: Firmwareupdates sind OEM-spezifisch. Informationen zum Herunterladen und Anwenden der Updates finden Sie auf der Website Ihres OEM-Anbieters.

F4. Mein integriertes Azure Stack-System führt nicht das neueste Update (1711) aus. Was soll ich tun?
A4: Azure Stack-Updates sind sequenziell. Sie müssen alle vorherigen Updates anwenden, bevor Sie das Azure Stack 1712-Update anwenden können. Weitere Informationen finden Sie unter Azure Stack 1711 Update.

F5. Ich verwende ein Azure Stack Development Kit (ASDK). Ist dies von dieser Klasse von Sicherheitsrisiken betroffen?
A5: Ja ist es. Es wird empfohlen, die neueste Version des ASDKbereitzustellen. Informationen zum Firmwareupdate finden Sie auf der Website Ihres OEM-Anbieters, um die Updates herunterzuladen und anzuwenden.