Microsoft Defender 标记风扇控制应用程序:你需要知道什么
最近,许多在线用户报告称 Microsoft Defender 标记了他们的风扇控制和 PC 硬件监控程序。Razer 和 SteelSeries 等品牌的知名应用程序也受到影响。此问题是由于检测到“WinRing0x64.sys”系统驱动程序而引起的,该驱动程序被 Microsoft 标记为“HackTool:Win32/Winring0”,并在检测到后立即被隔离。
了解 WinRing0:功能和风险
WinRing0 驱动程序充当 Windows 的硬件访问库,使应用程序能够与 I/O 端口、模型特定寄存器 (MSR) 和 PCI 总线进行交互。例如,流行的 RGB 照明控制应用程序 OpenRGB 在其GitHub 存储库上确认,它依赖 WinRing0 驱动程序与 SMBus 接口进行通信,这有助于设备之间的低带宽通信。
合理的担忧:驱动程序中的漏洞
虽然微软的举动似乎有些过分,但并非毫无道理。该驱动程序已被确认存在漏洞,因此需要谨慎处理。例如,广泛使用的“风扇控制”应用程序的开发人员表示,依赖于开源 LibreHardwareMonitorLib 驱动程序 (WinRing0x64.sys) 的软件确实被正确标记。由于此驱动程序仍未打补丁,因此可能会发生潜在漏洞。
你们中的许多人报告说 Defender 开始标记 LibreHardwareMonitorLib 驱动程序 (WinRing0x64.sys),你们不需要进一步报告,我知道这一点。
此内核驱动程序始终存在已知漏洞,理论上可在受感染的机器上加以利用。驱动程序或程序本身并不恶意,并且安全性不会比被标记之前更高或更低。在使用 Defender 采取任何措施之前,最好先检查风险。
漏洞详细信息
与 WinRing0 相关的漏洞于 2020 年首次发现,其标识符为“CVE-2020-14979”。根据国家漏洞数据库 (NVD) 的数据,此驱动程序可以读取和写入任意内存位置,展现出缓冲区和堆栈溢出漏洞的典型特征。NVD 重点指出:
EVGA Precision X1 中的 WinRing0.sys 和 WinRing0x64.sys 驱动程序 1.2.0 到 1.0.6 允许本地用户(包括低完整性进程)读取和写入任意内存位置。这允许任何用户通过将 \Device\PhysicalMemory 映射到调用进程来获得 NT AUTHORITY\SYSTEM 权限。
Razer 的回应和建议
鉴于这些进展,Razer 就其 Synapse 应用程序发表了一份声明,建议用户升级到不使用这些问题驱动程序的 Synapse 4。Razer 社区论坛上的一位代表表示:
Synapse 3 于 2025 年 2 月 20 日推出了安全补丁,以摆脱这些驱动程序。
Synapse 4 未使用这些驱动程序。我们鼓励遇到此问题的任何人检查他们是否正在使用最新版本的 Synapse 3,或升级到 Synapse 4 以获得最先进的保护和功能。
这与整个行业的做法一致。我们提前确保了一切安全,但让用户及时更新 Windows 安全补丁和其他必要补丁也非常重要。
结论和最佳实践
这种情况说明这不仅仅是误报或潜在有害应用程序 (PUA) 检测。作为 Windows 11 持续改进的一部分,微软一直在积极增强其智能控制应用程序,建议仍在使用 Windows 10 的用户进行全新安装。
此外,微软最近发布了针对 Windows 11 和 10 以及 Windows Server 安装的新版本安全情报更新,体现了他们对用户安全的持续承诺。
发表回复 ▼