
Microsoft Defender 플래그 팬 제어 응용 프로그램: 알아야 할 사항
최근 많은 온라인 사용자들이 Microsoft Defender가 팬 제어 및 PC 하드웨어 모니터링 프로그램에 플래그를 지정한다고 보고했습니다. Razer와 SteelSeries와 같은 브랜드의 주요 애플리케이션이 영향을 받는 애플리케이션 중 하나입니다.이 문제는 Microsoft에서 “HackTool:Win32/Winring0″으로 레이블을 지정한 “WinRing0x64.sys” 시스템 드라이버가 감지되어 발생하며, 감지되면 즉시 격리됩니다.
WinRing0 이해: 기능 및 위험
WinRing0 드라이버는 Windows용 하드웨어 액세스 라이브러리 역할을 하며, 애플리케이션이 I/O 포트, 모델별 레지스터(MSR) 및 PCI 버스와 상호 작용할 수 있도록 합니다.예를 들어, 인기 있는 RGB 조명 제어 애플리케이션인 OpenRGB는 GitHub 저장소에서 SMBus 인터페이스와 통신하기 위해 WinRing0 드라이버에 의존한다고 확인했으며, 이는 장치 간의 저대역폭 통신을 용이하게 합니다.
합법적인 우려: 드라이버의 취약성
Microsoft의 조치가 과도해 보일 수 있지만, 그럴 만한 이유가 없는 것은 아닙니다.이 드라이버는 취약한 것으로 인식되어 주의가 필요합니다.예를 들어, 널리 사용되는 “Fan Control” 애플리케이션의 개발자는 오픈소스 LibreHardwareMonitorLib 드라이버(WinRing0x64.sys)에 의존하는 소프트웨어가 실제로 올바르게 플래그가 지정되었다고 밝혔습니다.이 드라이버는 패치되지 않은 상태이므로 잠재적인 악용이 발생할 수 있습니다.
여러분 중 많은 분들이 Defender가 LibreHardwareMonitorLib 드라이버(WinRing0x64.sys)에 대한 플래그를 표시하기 시작했다고 보고하셨는데, 더 이상 보고하실 필요는 없습니다.저는 그 사실을 알고 있습니다.
이 커널 드라이버는 이론적으로 감염된 머신에서 악용될 수 있는 알려진 취약성을 항상 가지고 있었습니다.드라이버나 프로그램 자체는 악성이 아니며 플래그가 지정되기 전보다 더 안전하거나 덜 안전하지 않습니다. Defender로 어떤 조치를 취하기 전에 위험을 검토하는 것이 좋습니다.
취약점 세부 정보
WinRing0과 관련된 취약점은 2020년에 처음 발견되었으며 식별자 “CVE-2020-14979″로 추적됩니다. National Vulnerability Database(NVD)에 따르면 이 드라이버는 임의의 메모리 위치를 읽고 쓸 수 있으며, 버퍼 및 스택 오버플로 결함의 일반적인 특성을 보여줍니다. NVD는 다음을 강조합니다.
EVGA Precision X1에서 1.0.6까지의 WinRing0.sys 및 WinRing0x64.sys 드라이버 1.2.0은 낮은 무결성 프로세스를 포함한 로컬 사용자가 임의의 메모리 위치를 읽고 쓸 수 있도록 합니다.이를 통해 모든 사용자가 \Device\PhysicalMemory를 호출 프로세스에 매핑하여 NT AUTHORITY\SYSTEM 권한을 얻을 수 있습니다.
Razer의 대응 및 권장 사항
이러한 개발에 따라 Razer는 Synapse 애플리케이션에 대한 성명을 발표하여 사용자에게 이러한 문제가 있는 드라이버를 사용하지 않는 Synapse 4로 업그레이드하라고 권고했습니다. Razer 커뮤니티 포럼의 한 대표는 다음과 같이 말했습니다.
Synapse 3은 이러한 드라이버로부터 벗어나기 위해 2025년 2월 20일에 보안 패치를 출시했습니다.
Synapse 4는 이러한 드라이버를 사용하지 않았습니다.이 문제에 직면한 모든 사람은 최신 버전의 Synapse 3를 사용하고 있는지 확인하거나 가장 진보된 보호 및 기능을 위해 Synapse 4로 업그레이드하는 것이 좋습니다.
이는 업계 전반에서 처리되는 내용과 일치합니다.우리는 앞서 나가서 모든 것이 미리 안전한지 확인했지만, 사용자가 Windows 보안 패치와 필요한 경우 다른 패치를 최신 상태로 유지하는 것이 매우 중요합니다.
결론 및 모범 사례
이 상황은 단순히 거짓 양성 또는 잠재적으로 원치 않는 애플리케이션(PUA) 감지가 아니라는 것을 보여줍니다. Microsoft는 Windows 11의 지속적인 개선의 일환으로 Smart Control 애플리케이션을 적극적으로 개선하여 Windows 10을 계속 사용하는 사용자에게 클린 설치를 제안했습니다.
또한 Microsoft는 최근 Windows 11과 10, Windows Server 설치를 위한 새로운 버전의 보안 인텔리전스 업데이트를 출시하여 사용자 보안에 대한 회사의 지속적인 노력을 반영했습니다.
답글 남기기 ▼