Microsoft는 더 이상 Intel 7세대 8세대 9세대 10세대 11세대 CPU의 “몰락”을 간과하지 말라고 제안합니다.
지난달 2023년 8월, 7세대 Kaby Lake부터 11세대 Rocket Lake CPU까지 여러 최신 Intel 프로세서 제품군이 새로운 프로세서 취약점에 취약한 것으로 밝혀졌습니다. 이 보안 결함은 코드명 “Downfall”이며 GDS(Gather Data Sampling) 취약점이라고 불리는 일시적 실행 또는 예측 실행 부채널 공격입니다.
최신 칩, 즉 Intel의 12세대 Alder Lake 및 13세대 Raptor Lake 부품에는 오래된 데이터의 악용을 방지하는 Intel의 TDX가 함께 제공됩니다 . Microsoft와 Intel은 서로 협력하고 있으며 펌웨어 마이크로코드 업데이트(MCU)를 통해 문제가 완화됩니다 .
이 문제에 대해 Microsoft가 게시한 보안 권고에는 사용자가 영향을 받지 않는다고 느낄 경우 Downfall에 대해 제공되는 완화 기능을 비활성화하려는 경우를 대비해 사용자를 안내하는 섹션이 있었습니다. 그러나 흥미롭게도 Microsoft는 제공된 완화 제거 기능과 이에 대해 설명하는 섹션을 웹 사이트에서 삭제하고 변경 로그를 업데이트했으며 “해당 옵션이 없으므로 GDS 완화를 비활성화하기 위해 콘텐츠를 제거했습니다”라는 메시지와 함께 그 이유를 설명했습니다. 더 오래 사용할 수 있습니다.”
이 완화 조치를 제거하려면 레지스트리를 조정해야 했습니다. 보관된 버전은 다음과 같습니다.
완화 비활성화
GDS를 위협 모델의 일부로 간주하지 않는 경우 베어메탈 환경에서 완화 기능을 해제(비활성화)하도록 선택할 수 있습니다.
참고 Hyper-V(가상화)가 활성화된 경우 완화 기능을 비활성화하는 것은 현재 구현 범위에 포함되지 않습니다.
Windows에서 GDS 완화를 비활성화하려면 환경에 맞게 다음을 설치해야 합니다.
- 지원되는 Windows 10 및 Windows 11 환경에서는 2023년 8월 22일 이후의 Windows 업데이트를 설치해야 합니다.
- 지원되는 Windows Server 환경에서는 2023년 9월 12일 이후의 Windows 업데이트를 설치해야 합니다.
적절한 Windows 업데이트를 설치한 후 레지스트리에서 다음 기능 플래그를 설정해야 합니다.
Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Value name: FeatureSettingsOverride
Value type: REG_DWORD
Value data: 0x2000000 (hex)
이 레지스트리 값이 아직 존재하지 않는 경우 다음 명령을 실행하여 GDS 완화를 비활성화합니다.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f
Microsoft 공식 웹사이트의 이( KB5029778 ) 지원 페이지 에서 Intel의 몰락(GDS)에 대한 보안 권고를 찾을 수 있습니다 .
답글 남기기