Comprendre les alertes Windows 11/10 concernant « Winring0 » dans les applications de surveillance et de contrôle des ventilateurs du PC

Comprendre les alertes Windows 11/10 concernant « Winring0 » dans les applications de surveillance et de contrôle des ventilateurs du PC

Applications de contrôle des ventilateurs signalées par Microsoft Defender : ce que vous devez savoir

Récemment, de nombreux utilisateurs en ligne ont signalé que Microsoft Defender signalait leurs programmes de contrôle des ventilateurs et de surveillance du matériel informatique. Des applications de marques renommées comme Razer et SteelSeries sont notamment concernées. Ce problème survient suite à la détection du pilote système « WinRing0x64.sys », étiqueté par Microsoft comme « HackTool:Win32/Winring0 » et immédiatement mis en quarantaine dès sa détection.

Comprendre WinRing0 : fonctionnalités et risques

Le pilote WinRing0 sert de bibliothèque d’accès matériel pour Windows, permettant aux applications d’interagir avec les ports d’E/S, les registres spécifiques au modèle (MSR) et le bus PCI. Par exemple, OpenRGB, une application populaire de contrôle d’éclairage RVB, confirme sur son dépôt GitHub qu’elle s’appuie sur le pilote WinRing0 pour communiquer avec l’interface SMBus, ce qui facilite la communication à faible bande passante entre les appareils.

Préoccupations légitimes : vulnérabilités du pilote

Bien que les actions de Microsoft puissent paraître excessives, elles ne sont pas sans fondement. Le pilote a été reconnu comme vulnérable, ce qui incite à la prudence. Par exemple, le développeur de l’application très répandue « Fan Control » a indiqué que les logiciels dépendant du pilote open source LibreHardwareMonitorLib (WinRing0x64.sys) sont correctement signalés. Des exploits potentiels pourraient se produire, car ce pilote n’a pas été corrigé.

Beaucoup d’entre vous ont signalé que Defender a commencé à signaler le pilote LibreHardwareMonitorLib (WinRing0x64.sys), vous n’avez pas besoin de le signaler davantage, j’en suis conscient.

Ce pilote de noyau a toujours présenté une vulnérabilité connue, théoriquement exploitable sur une machine infectée. Ni le pilote ni le programme lui-même ne sont malveillants et ne sont ni plus ni moins sécurisés qu’avant leur signalement. Il est recommandé d’évaluer le risque avant toute action avec Defender.

Détails de la vulnérabilité

Les vulnérabilités associées à WinRing0 ont été identifiées pour la première fois en 2020 et sont répertoriées sous l’identifiant « CVE-2020-14979 ».Selon la base de données nationale des vulnérabilités (NVD), ce pilote peut lire et écrire dans des emplacements mémoire arbitraires, présentant des caractéristiques typiques des failles de tampon et de dépassement de pile. La NVD met en évidence :

Les pilotes WinRing0.sys et WinRing0x64.sys 1.2.0 des cartes EVGA Precision X1 à 1.0.6 permettent aux utilisateurs locaux, y compris les processus à faible intégrité, de lire et d’écrire dans des emplacements mémoire arbitraires. Cela permet à tout utilisateur d’obtenir les privilèges NT AUTHORITY\SYSTEM en mappant \Device\PhysicalMemory au processus appelant.

Réponse et recommandations de Razer

À la lumière de ces développements, Razer a publié une déclaration concernant son application Synapse, conseillant aux utilisateurs de passer à Synapse 4, qui n’utilise pas ces pilotes problématiques. Un représentant du forum communautaire Razer a déclaré :

Synapse 3 a déployé un correctif de sécurité le 20 février 2025 pour s’éloigner de ces pilotes.

Synapse 4 n’utilisait pas ces pilotes. Nous encourageons toute personne confrontée à ce problème à vérifier qu’elle utilise la dernière version de Synapse 3 ou à effectuer la mise à niveau vers Synapse 4 pour bénéficier de la protection et des fonctionnalités les plus avancées.

Cette mesure est conforme à la réglementation en vigueur dans le secteur. Nous avons pris les mesures nécessaires pour sécuriser tout le système, mais il est essentiel que les utilisateurs soient à jour avec leurs correctifs de sécurité Windows et tout autre correctif requis.

Conclusion et meilleures pratiques

Cette situation montre qu’il ne s’agit pas simplement d’un faux positif ou d’une détection d’application potentiellement indésirable (PUA).Microsoft a activement amélioré son application Smart Control dans le cadre des améliorations continues de Windows 11, suggérant une nouvelle installation pour les utilisateurs de Windows 10.

De plus, Microsoft a récemment publié une nouvelle version des mises à jour de sécurité pour Windows 11 et 10, ainsi que pour les installations de Windows Server, reflétant son engagement continu envers la sécurité des utilisateurs.

Source et images

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *