Microsoft Defender detecta aplicaciones de control de ventiladores: lo que necesita saber
Recientemente, muchos usuarios en línea han informado que Microsoft Defender está marcando sus programas de control de ventiladores y de monitoreo de hardware de PC. Aplicaciones importantes de marcas como Razer y SteelSeries se encuentran entre las afectadas. Este problema surge debido a la detección del controlador del sistema «WinRing0x64.sys», etiquetado por Microsoft como «HackTool:Win32/Winring0» y puesto en cuarentena inmediatamente después de su detección.
Entendiendo WinRing0: Funcionalidad y riesgos
El controlador WinRing0 funciona como una biblioteca de acceso de hardware para Windows, lo que permite que las aplicaciones interactúen con puertos de E/S, registros específicos del modelo (MSR) y el bus PCI. Por ejemplo, OpenRGB, una popular aplicación de control de iluminación RGB, confirma en su repositorio de GitHub que utiliza el controlador WinRing0 para comunicarse con la interfaz SMBus, lo que facilita la comunicación entre dispositivos con bajo ancho de banda.
Preocupaciones legítimas: vulnerabilidades del conductor
Aunque las acciones de Microsoft puedan parecer excesivas, no carecen de fundamento. El controlador ha sido reconocido como vulnerable, lo que requiere precaución. Por ejemplo, el desarrollador de la aplicación «Fan Control», ampliamente utilizada, ha indicado que el software que depende del controlador de código abierto LibreHardwareMonitorLib (WinRing0x64.sys) está correctamente marcado. Podrían producirse vulnerabilidades de seguridad, ya que este controlador sigue sin parchearse.
Muchos de ustedes informaron que Defender comenzó a marcar el controlador LibreHardwareMonitorLib (WinRing0x64.sys), no es necesario que lo informen más, estoy al tanto de ello.
Este controlador del kernel siempre tuvo una vulnerabilidad conocida que, en teoría, podría explotarse en una máquina infectada. Ni el controlador ni el programa en sí son maliciosos ni son más ni menos seguros que antes de su detección. Es recomendable revisar el riesgo antes de tomar cualquier medida con Defender.
Detalles de la vulnerabilidad
Las vulnerabilidades asociadas con WinRing0 se identificaron por primera vez en 2020 y se rastrean bajo el identificador «CVE-2020-14979».Según la Base de Datos Nacional de Vulnerabilidades (NVD), este controlador puede leer y escribir en ubicaciones de memoria arbitrarias, presentando características típicas de fallas de desbordamiento de búfer y pila. La NVD destaca:
Los controladores WinRing0.sys y WinRing0x64.sys 1.2.0 en EVGA Precision X1 a 1.0.6 permiten a los usuarios locales, incluidos los procesos de baja integridad, leer y escribir en ubicaciones de memoria arbitrarias. Esto permite que cualquier usuario obtenga privilegios NT AUTHORITY\SYSTEM al asignar \Device\PhysicalMemory al proceso que realiza la llamada.
Respuesta y recomendaciones de Razer
Ante estos acontecimientos, Razer ha emitido un comunicado sobre su aplicación Synapse, recomendando a los usuarios actualizar a Synapse 4, que no utiliza estos controladores problemáticos. Un representante del foro de la comunidad de Razer declaró:
Synapse 3 lanzó un parche de seguridad el 20 de febrero de 2025 para alejarse de estos controladores.
Synapse 4 no utilizaba estos controladores. Recomendamos a quienes tengan este problema que comprueben que están usando la última versión de Synapse 3 o que actualicen a Synapse 4 para disfrutar de la protección y las funciones más avanzadas.
Esto coincide con lo que se está gestionando en toda la industria. Nos aseguramos de que todo esté seguro con antelación, pero es fundamental que los usuarios estén al día con sus parches de seguridad de Windows y cualquier otro que sea necesario.
Conclusión y mejores prácticas
Esta situación demuestra que no se trata simplemente de un falso positivo ni de la detección de una aplicación potencialmente no deseada (PUA).Microsoft ha estado mejorando activamente su aplicación Smart Control como parte de las mejoras continuas de Windows 11, sugiriendo una instalación limpia para los usuarios que aún utilizan Windows 10.
Además, Microsoft lanzó recientemente una nueva versión de actualizaciones de inteligencia de seguridad tanto para Windows 11 como para Windows 10, así como para las instalaciones de Windows Server, lo que refleja su compromiso continuo con la seguridad del usuario.
Artículos relacionados:
¿Por qué Windows marca aplicaciones aleatorias como amenazas potenciales?
20:55
Microsoft desactiva involuntariamente la opción para cambiar de Outlook en Windows 11
20:28
Velocidad mejorada del Administrador de paquetes de Windows UniGetUI con interfaz de usuario de configuración actualizada
10:36
Deja una respuesta ▼