Microsoft опубликовала рекомендации по снижению рисков эксплуатации уязвимости Downfall в Windows

Уязвимость Downfall (CVE-2022-40982), обнаруженная в начале августа, затрагивает несколько версий процессоров Intel и все поддерживаемые версии Windows 10, Windows 11, Windows Server 2019 и Windows Server 2022.

В документе поддержки KB5029778 Microsoft предоставила подробную информацию о проблеме безопасности. Компания пояснила, как системные администраторы могут установить средства защиты от потенциальной эксплуатации или отключить их.

Успешная эксплуатация позволяет получить данные с затронутых процессоров через барьеры безопасности, такие как пользователь-ядро, процессы, виртуальные машины (ВМ) и доверенные среды выполнения.

Для снижения рисков эксплуатации администраторам необходимо установить обновление микрокода Intel Platform Update 23.3. Обычно такие типы обновлений поставляются производителем оборудования. Список компаний и ссылки на сайты загрузки драйверов и ПО доступны на сайте Intel.

Новейшие продукты Intel, включая Alder Lake, Raptor Lake и Sapphire Rapids, уязвимость не затрагивает.

В системах с установленным обновлением микрокода средство защиты включено по умолчанию. Хотя отключение защиты в большинстве случаев не рекомендуется, такая возможность все же существует. Ею можно воспользоваться, если уязвимость не является частью модели угроз. Ранее установленные средства защиты могут повлиять на производительность системы.

Как отключить защиту от узявимости Downfall

Отключение возможно только в том случае, если были установлены следующие обновления Windows:

• Windows 10 и Windows 11: обновления от 22 августа 2023 года или более новые обновления.
• Windows Server: обновления от 12 сентября 2023 года или более новые обновления.

Пользователи устройств Windows могут выполнить следующую команду в командной строке с правами  администратора, чтобы отключить меры защиты на клиентских и серверных устройствах Windows:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f

Вы также можете добавить необходимые значения в реестр вручную:

• Откройте редактор реестра на машине Windows, например, открыв меню «Пуск», набрав regedit и выбрав пункт Редактор реестра.
• Подтвердите запрос службы контроля учетных записей.
• Перейдите в раздел

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

• Если раздел не существует, щелкните правой кнопкой мыши на предыдущем разделе, выберите Создать > Раздел и назовите его соответствующим образом, чтобы создать путь.
• Щелкните правой кнопкой мыши на Memory Management и выберите Создать > Параметр DWORD (32 бита).
• Назовите параметр FeatureSettingsOverride и установите значение 2000000 в шестнадцатеричной системе исчисления.
• Перезагрузите систему.

После выполнения этих действия меры защиты от уязвимости будут отключены. Но вы можете снова их активировать, удалив параметр FeatureSettingsOverride в реестре.