Inspector で CVE-2022-0001 の脆弱性検知を解消するための方法を教えてください

困っていること

Inspector で Windows Server の脆弱性を管理しています。
Windows Update は最新版まで適用済みの状態なのですが、CVE-2022-0001 の脆弱性が検知され続けてしまっている状況です。
当該脆弱性を解消するために必要な方法を教えてください。

どう対応すればいいの？

当該脆弱性解消のためにはインスタンス側で手動でのレジストリ変更が必要となります。
CVE-2022-0001 の脆弱性に関する以下の Microsoft 社のドキュメントに記載されている手順を実行してください。

Intel: CVE-2022-0001 Branch History Injection

Intel プロセッサを使用する Windows デバイスおよびクライアントで CVE-2022-0001 の緩和策を有効にするには、次の手順を実行します。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

やってみた

当該脆弱性が Inspector によって検知されている Windows Server 2022 の EC2 インスタンスを用意しました。
こちらのインスタンスのレジストリを編集し、脆弱性が解消されるか確認したいと思います。

インスタンスに RDP で接続後、「ファイル名を指定して実行」画面で「regedit」を入力し、レジストリエディタを開きます。

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" を開き、FeatureSettingsOverride と FeatureSettingsOverrideMask の現在の設定値を確認しておきます。

確認したら管理者権限で PowerShell を開き、以下のコマンドを実行して対象のレジストリ値を変更します。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

レジストリエディタ上でも当該パラメータの値が変更されていることを確認しました。

これで必要な対応が完了したので、SSM から AmazonInspector2-InvokeInspectorSsmPlugin コマンドを実行し、脆弱性の再スキャンを実行します。

コマンド実行後、Inspector の管理画面上で CVE-2022-0001 の脆弱性が検出されなくなったことが確認できました。