Microsoft Defender kennzeichnet Anwendungen zur Lüftersteuerung: Was Sie wissen müssen
In letzter Zeit haben viele Online-Nutzer berichtet, dass Microsoft Defender ihre Lüftersteuerungs- und PC-Hardware-Überwachungsprogramme kennzeichnet. Betroffen sind unter anderem namhafte Anwendungen von Marken wie Razer und SteelSeries. Dieses Problem entsteht durch die Erkennung des Systemtreibers „WinRing0x64.sys“, der von Microsoft als „HackTool:Win32/Winring0“ bezeichnet und nach seiner Erkennung umgehend unter Quarantäne gestellt wird.
WinRing0 verstehen: Funktionalität und Risiken
Der WinRing0-Treiber dient als Hardware-Zugriffsbibliothek für Windows und ermöglicht Anwendungen die Interaktion mit E/A-Ports, modellspezifischen Registern (MSR) und dem PCI-Bus. Beispielsweise bestätigt OpenRGB, eine beliebte Anwendung zur RGB-Lichtsteuerung, in seinem GitHub-Repository, dass es den WinRing0-Treiber für die Kommunikation mit der SMBus-Schnittstelle benötigt, was die Kommunikation zwischen Geräten mit geringer Bandbreite ermöglicht.
Berechtigte Bedenken: Sicherheitslücken im Treiber
Auch wenn Microsofts Maßnahmen übertrieben erscheinen mögen, sind sie nicht unbegründet. Der Treiber wurde als anfällig eingestuft, was zur Vorsicht mahnt. Beispielsweise hat der Entwickler der weit verbreiteten Anwendung „Fan Control“ darauf hingewiesen, dass Software, die auf dem Open-Source-Treiber LibreHardwareMonitorLib (WinRing0x64.sys) basiert, tatsächlich korrekt gekennzeichnet ist. Da dieser Treiber ungepatcht bleibt, könnten potenzielle Exploits auftreten.
Viele von Ihnen haben berichtet, dass Defender begonnen hat, den LibreHardwareMonitorLib-Treiber (WinRing0x64.sys) zu markieren. Sie müssen dies nicht weiter melden, ich bin mir dessen bewusst.
Dieser Kerneltreiber wies immer eine bekannte Schwachstelle auf, die theoretisch auf einem infizierten Rechner ausgenutzt werden könnte. Der Treiber oder das Programm selbst sind nicht schädlich und nicht sicherer als vor der Meldung. Es empfiehlt sich, das Risiko zu prüfen, bevor Sie mit Defender Maßnahmen ergreifen.
Details zur Sicherheitsanfälligkeit
Die mit WinRing0 verbundenen Schwachstellen wurden erstmals 2020 identifiziert und werden unter der Kennung „CVE-2020-14979“ geführt. Laut der National Vulnerability Database (NVD) kann dieser Treiber beliebige Speicherorte lesen und beschreiben und weist typische Merkmale von Puffer- und Stapelüberlauffehlern auf. Die NVD hebt hervor:
Die Treiber WinRing0.sys und WinRing0x64.sys 1.2.0 in EVGA Precision X1 bis 1.0.6 ermöglichen lokalen Benutzern, einschließlich Prozessen mit niedriger Integrität, das Lesen und Schreiben in beliebige Speicherbereiche. Dadurch erhält jeder Benutzer NT AUTHORITY\SYSTEM-Berechtigungen, indem er \Device\PhysicalMemory in den aufrufenden Prozess einbindet.
Razers Antwort und Empfehlungen
Angesichts dieser Entwicklungen hat Razer eine Stellungnahme zu seiner Synapse-Anwendung veröffentlicht und empfiehlt Nutzern, auf Synapse 4 umzusteigen, da diese problematischen Treiber nicht verwendet werden. Ein Vertreter im Razer-Community-Forum erklärte:
Synapse 3 hat am 20. Februar 2025 einen Sicherheitspatch veröffentlicht, um von diesen Treibern wegzukommen.
Synapse 4 verwendete diese Treiber nicht. Wir empfehlen allen, die von diesem Problem betroffen sind, zu prüfen, ob sie die neueste Version von Synapse 3 verwenden, oder auf Synapse 4 zu aktualisieren, um den bestmöglichen Schutz und die besten Funktionen zu erhalten.
Dies entspricht dem branchenweiten Vorgehen. Wir haben bereits im Vorfeld sichergestellt, dass alles sicher ist. Es ist jedoch sehr wichtig, dass die Benutzer über aktuelle Windows-Sicherheitspatches und alle weiteren erforderlichen Patches verfügen.
Fazit und Best Practices
Diese Situation verdeutlicht, dass es sich nicht nur um einen Fehlalarm oder die Erkennung einer potenziell unerwünschten Anwendung (PUA) handelt. Microsoft hat seine Smart Control-Anwendung im Rahmen der laufenden Verbesserungen in Windows 11 aktiv verbessert und empfiehlt Nutzern, die noch Windows 10 verwenden, eine Neuinstallation.
Darüber hinaus hat Microsoft kürzlich eine neue Version der Security Intelligence-Updates sowohl für Windows 11 und 10 als auch für Windows Server-Installationen veröffentlicht und unterstreicht damit sein anhaltendes Engagement für die Benutzersicherheit.
Ähnliche Artikel:
Microsoft behebt Probleme beim Windows 11 24H2 VBS-Upgrade mit KB5059607, KB5059806, KB5059442
21:56
Microsoft veröffentlicht umfassenden Leitfaden zur Behebung aller Download- und Installationsfehler bei Windows 11- und 10-Updates
20:33
Windows 11 KB5058502 veröffentlicht: Neue Copilot-Verknüpfung, Push-to-Talk-Funktion und zusätzliche Updates
20:22
Schreibe einen Kommentar ▼