幽靈熔斷系列漏洞(現在被稱為瞬態執行漏洞)最初是在2017年發現的,該系列漏洞屬於芯片架構中的設計漏洞,因此無法徹底修復隻能緩解。這些年微軟和英特爾已經發佈多次緩解方案,這些緩解方案通過禁用推測執行相關功能提升防禦措施,然而這會導致CPU性能下降。
4 月 10 日微軟安全響應中心發佈新的安全公告:
我們發佈 CVE-2022-001 | 英特爾分支歷史記錄註入 (BHI),這是模式內 BTI 的一種特定形式,當攻擊者在從用戶模式轉換為超級用戶模式,或從 VMX 非 root/Guest 模式轉換為 root 模式之前操縱分支歷史記錄時,就可以觸發漏洞。
此操作可能會導致間接分支預測器為間接分支選擇特定的預測器條目,並且預測目標處的披露小工具將會暫時執行,因為相關分支歷史可萌會包含在先前安全上下文中采取的分支,特別是其他預測器模式。
微軟的這則安全公告閱讀起來略微有些難度,不過核心就是熔斷系列漏洞通常在支持分支預測或推測的處理器中出現,還可以通過分支歷史緩沖區來規避緩解措施。
既然發現有方法可以用來規避緩解措施那自然需要繼續封堵,所以微軟又發佈新註冊表用來緩解該系列漏洞。
註冊表添加方法:打開管理員模式的命令提示符執行以下命令
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
添加以上註冊表後可以繼續增強安全性,但代價就是 CPU 性能會下降,因此是否添加上述註冊表鍵值取決於用戶。