Microsoft stelt niet langer voor om de “ondergang” van Intel 7e 8e 9e 10e 11e generatie CPU’s over het hoofd te zien

Vorige maand augustus 2023 bleken verschillende moderne Intel-processorfamilies, van de 7e generatie Kaby Lake tot en met de 11e generatie Rocket Lake CPU’s, vatbaar voor een nieuwe processorkwetsbaarheid. Dit beveiligingslek heeft de codenaam ‘Downfall’ en is een side-channel aanval met tijdelijke uitvoering of speculatieve uitvoering, genaamd Gather Data Sampling (GDS)-kwetsbaarheid.

De nieuwste chips, dat wil zeggen Intel’s 12e generatie Alder Lake en de 13e generatie Raptor Lake-onderdelen worden geleverd met Intel’s TDX die de exploitatie van verouderde gegevens voorkomt . Microsoft en Intel werken met elkaar samen en het probleem wordt verholpen via de firmware Microcode-update (MCU) .

In het beveiligingsadvies dat Microsoft over dit probleem publiceerde, had de technologiegigant een sectie waarin gebruikers werden begeleid als ze de mitigatie voor Downfall wilden uitschakelen als gebruikers dachten dat ze er niet door werden getroffen. Interessant is echter dat Microsoft sindsdien deze verstrekte verwijdering van de beperking en de sectie waarin deze werd beschreven van zijn website heeft verwijderd en de changelog heeft bijgewerkt en heeft uitgelegd waarom met het volgende bericht “De inhoud verwijderd om de GDS-beperking uit te schakelen, aangezien die optie niet bestaat langer beschikbaar.”

Het verwijderen van deze beperking betekende het aanbrengen van aanpassingen aan het register. Hier is de gearchiveerde versie ervan:

Schakel de beperking uit

Als u GDS niet als onderdeel van uw dreigingsmodel beschouwt, kunt u ervoor kiezen om de beperking in een bare-metal-omgeving uit te schakelen (uit te schakelen).

Opmerking Het uitschakelen van de beperking wanneer Hyper-V (virtualisatie) is ingeschakeld, valt niet binnen het bereik van deze huidige implementatie.

Om de GDS-beperking in Windows uit te schakelen, moet u het volgende geïnstalleerd hebben, afhankelijk van uw omgeving:

• In ondersteunde Windows 10- en Windows 11-omgevingen moet u de Windows-update van of na 22 augustus 2023 hebben geïnstalleerd.
• Op ondersteunde Windows Server-omgevingen moet u de Windows-update van of na 12 september 2023 hebben geïnstalleerd.

Nadat de juiste Windows-update is geïnstalleerd, moet u de volgende functievlag in het register instellen:


Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management


Value name: FeatureSettingsOverride


Value type: REG_DWORD




Value data: 0x2000000 (hex)

Als deze registerwaarde nog niet bestaat, voert u de volgende opdracht uit om de GDS-beperking uit te schakelen:


reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f

U kunt het beveiligingsadvies over Intel’s Downfall (GDS) vinden op deze ( KB5029778 ) ondersteuningspagina op de officiële website van Microsoft.