{"id":218117,"date":"2019-05-16T15:49:25","date_gmt":"2019-05-16T13:49:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218117"},"modified":"2022-07-27T10:44:05","modified_gmt":"2022-07-27T08:44:05","slug":"windows-10-v1809-retpoline-automatisch-aktiviert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/16\/windows-10-v1809-retpoline-automatisch-aktiviert\/","title":{"rendered":"Windows 10 V1809: Retpoline automatisch aktiviert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" \/>[English]Microsoft hat zum 14. Mai 2019 den Schutz gegen Spectre V2 durch die Retpoline-Compilertechnologie im Kernel automatisch f\u00fcr Windows 10 Version 1809 und Windows Server 2019 aktiviert.<\/p>\n<p><!--more--><\/p>\n<h2>Darum geht es bei Retpoline<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/bae98cac1b0e4b338062cb2fdd00cb34\" alt=\"\" width=\"1\" height=\"1\" \/>Retpoline (Return Trampoline) ist eine von <a href=\"https:\/\/support.google.com\/faqs\/answer\/7625886\">Google entwickelte Compiler-Technologie<\/a>, um ausf\u00fchrbaren Code gegen Seitenkanalangriffe (Spectre) per branch-target-injection zu sch\u00fctzen. Gegen\u00fcber Microcode-Updates, die zu einer Leistungseinbu\u00dfe f\u00fchren und nur prozessorspezifisch angeboten werden k\u00f6nnen, vermeidet Retpoline als Compiler-Technologie diese Leistungseinbu\u00dfen. Ich hatte bereits im Januar 2018 den Artikel <a href=\"https:\/\/borncity.com\/blog\/2018\/01\/13\/meltdown-spectre-google-patcht-cloud-ohne-leistungsverlust\/\">Meltdown\/Spectre: Google patcht Cloud ohne Leistungsverlust<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n<p>Im Linux-Kernel ist diese Technologie l\u00e4ngst \u00fcbernommen. Im M\u00e4rz 2019 kam dann die Kunde von Microsoft, dass man Retpoline auch in Windows 10 \u00fcbernehme. Die damalige Aussage: Ab Windows 10 19H1 kommt Retpoline im Windows-Kernel als Schutz gegen Spectre V2-Angriffe\u00a0 zum Einsatz. Ich hatte im Herbst 2018 im Artikel <a href=\"https:\/\/borncity.com\/blog\/2018\/10\/19\/windows-10-19h1-spectre-v2-schutz-per-retpoline\/\">Windows 10 19H1: Spectre V2-Schutz per Retpoline<\/a> dar\u00fcber berichtet. Dort ist auch die Best\u00e4tigung von Microsofts Mehmet Iyigun vom Windows\/Azure Kernel Team nachlesbar.<\/p>\n<blockquote><p>Da Retpoline eine Leistungsoptimierung f\u00fcr die Spectre Variant 2-Schwachstelle ist, erfordert es, dass Hardware- und Betriebssystemunterst\u00fctzung f\u00fcr die Branch Target Injection vorhanden und aktiviert sind. Skylake und sp\u00e4tere Generationen von Intel-Prozessoren sind <a href=\"https:\/\/web.archive.org\/web\/20191108093319\/https:\/\/software.intel.com\/security-software-guidance\/insights\/deep-dive-retpoline-branch-target-injection-mitigation\">nicht mit Retpoline kompatibel<\/a>. Auf diesen Prozessoren wird laut Microsoft nur die Import-Optimierung aktiviert. Dies ist eine spezielle Technik von Microsoft, die den Overhead bei Kernel-Aufrufen minimieren soll. Details, welche Anforderungen an Windows-Maschinen gestellt werden (z.B. Prozessoren), finden sich in <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Kernel-Internals\/Mitigating-Spectre-variant-2-with-Retpoline-on-Windows\/ba-p\/295618\">diesem Dokument<\/a>).<\/p><\/blockquote>\n<p>Im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/05\/windows-10-retpoline-spectre-2-schutz-manuell-aktivieren\/\">Windows 10: Retpoline-Spectre 2-Schutz manuell aktivieren<\/a> hatte ich zudem die Pl\u00e4ne Microsofts erw\u00e4hnt, einen Retpoline-Backport f\u00fcr \u00e4ltere Windows 10-Versionen vorzunehmen. Im Blog-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Kernel-Internals\/Mitigating-Spectre-variant-2-with-Retpoline-on-Windows\/ba-p\/295618\">Mitigating Spectre variant 2 with Retpoline on Windows<\/a> hatte Microsoft bereits Anfang Dezember 2018 einige Informationen zum Thema Retpoline und Windows 10 ver\u00f6ffentlicht.<\/p>\n<p>Mit dem am 1. M\u00e4rz 2019 ver\u00f6ffentlichten Update KB44828887 f\u00fcr Windows 10 Version 1809 wurde Retpoline f\u00fcr diese Windows-Version eingef\u00fchrt Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/03\/01\/windows-10-v1809-update-kb4482887-released-03-01-2019\/\">Windows 10 V1809: Update KB4482887 (01.03.2019)<\/a> findet sich der entsprechende Hinweis:<\/p>\n<blockquote><p>Enables \"Retpoline\" for Windows on certain devices, which may improve performance of Spectre variant 2 mitigations (CVE-2017-5715).<\/p><\/blockquote>\n<p>Der Retpoline-Schutz war aber nicht aktiviert. Man musste ggf. Registrierungseintr\u00e4ge setzen, um diesen Schutz im Kernel zu aktivieren (siehe <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Kernel-Internals\/Mitigating-Spectre-variant-2-with-Retpoline-on-Windows\/ba-p\/295618\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>).<\/p>\n<h2>Update KB4494441 aktiviert Retpoline<\/h2>\n<p>Zum 14. Mai 2019 hat Microsoft seinen Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/Windows-Kernel-Internals\/Mitigating-Spectre-variant-2-with-Retpoline-on-Windows\/ba-p\/295618\" target=\"_blank\" rel=\"noopener noreferrer\">Mitigating Spectre variant 2 with Retpoline on Windows<\/a> um den entscheidenden Hinweis erweitert. Unter Windows 10 Version 1809 und Windows Server 2019 ist Retpoline standardm\u00e4\u00dfig aktiv, wenn die nachfolgend genannten Bedingungen erf\u00fcllt sind.<\/p>\n<blockquote><p>We're happy to announce that today we've updated Retpoline cloud configuration to enable it for all supported devices!* In addition, with the May 14 Patch Tuesday update, we've removed the dependence on cloud configuration such that even those customers who may not be receiving cloud configuration updates can experience Retpoline performance gains.<br \/>\n*Note: Retpoline is enabled by default on devices running Windows 10, version 1809 and Windows Server 2019 or newer <i>and <\/i>which meet the following conditions:<\/p>\n<ul>\n<li>Spectre, Variant 2 (<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV180002\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2017-5715<\/a>) mitigation is enabled.\n<ul>\n<li>For Client SKUs, Spectre Variant 2 mitigation is <u>enabled<\/u> by default<\/li>\n<li>For Server SKUs, Spectre Variant 2 mitigation is <u>disabled<\/u> by default. To realize the benefits of Retpoline, IT Admins can enable it on servers <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4072698\/windows-server-speculative-execution-side-channel-vulnerabilities-prot\" target=\"_blank\" rel=\"noopener noreferrer\">following this guidance<\/a>.<\/li>\n<\/ul>\n<\/li>\n<li>Supported microcode\/firmware updates are applied to the machine.<\/li>\n<\/ul>\n<\/blockquote>\n<p>Sprich: Retpoline wird aktiviert, falls der Spectre V2-Schutz auf der Maschine gem\u00e4\u00df obigen Hinweisen aktiviert ist. Das kann aber Probleme machen, wenn die BIOS-Voraussetzungen nicht gegeben sind (zumindest interpretiere ich die Hinweise im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/16\/windows-10-v1809-probleme-mit-update-kb4494441\/\">Windows 10 V1809: Probleme mit Update KB4494441<\/a> so). Es ist im Techcommunity-Beitrag nicht explizit erw\u00e4hnt, ich gehe aber davon aus, dass das Update <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4494441\/windows-10-update-kb4494441\" target=\"_blank\" rel=\"noopener noreferrer\">KB4494441<\/a> f\u00fcr Windows 10 V1809 vorm 14.5.2019 f\u00fcr die Retpoline-Aktivierung verantwortlich ist. Zumindest findet sich ein entsprechender Hinweis im verlinkten KB-Artikel. Danke an Leon f\u00fcr den Hinweis.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/12\/08\/neue-splitspectre-methode-windows-retpoline-spectre-schutz\/\">Neue SplitSpectre-Methode, Windows Retpoline Spectre-Schutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/03\/05\/windows-10-retpoline-spectre-2-schutz-manuell-aktivieren\/\">Windows 10: Retpoline-Spectre 2-Schutz manuell aktivieren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat zum 14. Mai 2019 den Schutz gegen Spectre V2 durch die Retpoline-Compilertechnologie im Kernel automatisch f\u00fcr Windows 10 Version 1809 und Windows Server 2019 aktiviert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[4328,7570,4378],"class_list":["post-218117","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-sicherheit","tag-update-kb4494441","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218117","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218117"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218117\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218117"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218117"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218117"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}