
Aplikacje do sterowania wentylatorami flag programu Microsoft Defender: co musisz wiedzieć
Ostatnio wielu użytkowników online zgłosiło, że Microsoft Defender oznacza ich programy do kontroli wentylatorów i monitorowania sprzętu komputerowego. Wśród nich znajdują się znane aplikacje marek takich jak Razer i SteelSeries. Problem ten pojawia się z powodu wykrycia sterownika systemowego „WinRing0x64.sys”, który jest oznaczony przez Microsoft jako „HackTool:Win32/Winring0” i jest natychmiast poddawany kwarantannie po wykryciu.
Zrozumienie WinRing0: Funkcjonalność i ryzyko
Sterownik WinRing0 służy jako biblioteka dostępu sprzętowego dla systemu Windows, umożliwiając aplikacjom interakcję z portami I/O, rejestrami Model-Specific Registers (MSR) i magistralą PCI. Na przykład OpenRGB, popularna aplikacja do sterowania oświetleniem RGB, potwierdza w swoim repozytorium GitHub, że polega na sterowniku WinRing0 w celu komunikacji z interfejsem SMBus, który ułatwia komunikację o niskiej przepustowości między urządzeniami.
Uzasadnione obawy: Luki w zabezpieczeniach sterownika
Choć działania Microsoftu mogą wydawać się przesadne, nie są pozbawione podstaw. Sterownik został uznany za podatny na ataki, co wymaga ostrożności. Na przykład twórca powszechnie używanej aplikacji „Fan Control” wskazał, że oprogramowanie zależne od sterownika open source LibreHardwareMonitorLib (WinRing0x64.sys) jest rzeczywiście prawidłowo oznaczone. Potencjalne ataki mogą wystąpić, ponieważ ten sterownik pozostaje niezałatany.
Wielu z Was zgłosiło, że Defender zaczął oznaczać sterownik LibreHardwareMonitorLib (WinRing0x64.sys).Nie musicie tego zgłaszać, wiem o tym.
Ten sterownik jądra zawsze miał znaną lukę, która teoretycznie mogłaby zostać wykorzystana na zainfekowanej maszynie. Sterownik lub sam program nie są złośliwe i nie są bardziej lub mniej bezpieczne niż przed oznaczeniem. Dobrą praktyką jest sprawdzenie ryzyka przed podjęciem jakichkolwiek działań w programie Defender.
Szczegóły podatności
Luki w zabezpieczeniach związane z WinRing0 zostały po raz pierwszy zidentyfikowane w 2020 r.i są śledzone pod identyfikatorem „CVE-2020-14979”.Według National Vulnerability Database (NVD) ten sterownik może odczytywać i zapisywać dane w dowolnych lokalizacjach pamięci, wykazując cechy typowe dla luk związanych z przepełnieniem bufora i stosu. Najważniejsze informacje NVD:
Sterowniki WinRing0.sys i WinRing0x64.sys 1.2.0 w EVGA Precision X1 do 1.0.6 umożliwiają użytkownikom lokalnym, w tym procesom o niskiej integralności, odczyt i zapis w dowolnych lokalizacjach pamięci. Umożliwia to każdemu użytkownikowi uzyskanie uprawnień NT AUTHORITY\SYSTEM poprzez mapowanie \Device\PhysicalMemory na proces wywołujący.
Odpowiedź i zalecenia firmy Razer
W świetle tych wydarzeń Razer wydał oświadczenie dotyczące swojej aplikacji Synapse, zalecając użytkownikom aktualizację do Synapse 4, która nie wykorzystuje tych problematycznych sterowników. Przedstawiciel na forum społeczności Razer stwierdził:
W dniu 20 lutego 2025 r.firma Synapse 3 udostępniła poprawkę zabezpieczeń mającą na celu odejście od tych sterowników.
Synapse 4 nie używał tych sterowników. Zachęcamy każdego, kto ma ten problem, do sprawdzenia, czy używa najnowszej wersji Synapse 3 lub uaktualnienia do Synapse 4, aby uzyskać najbardziej zaawansowaną ochronę i funkcje.
Jest to zgodne z tym, co jest obsługiwane w całej branży. Poszliśmy naprzód i upewniliśmy się, że wszystko jest bezpieczne z wyprzedzeniem, ale bardzo ważne jest, aby użytkownicy byli na bieżąco z poprawkami zabezpieczeń systemu Windows i wszelkimi innymi, jeśli są wymagane.
Wnioski i najlepsze praktyki
Ta sytuacja pokazuje, że nie jest to po prostu fałszywy alarm lub wykrycie potencjalnie niechcianej aplikacji (PUA).Microsoft aktywnie ulepsza swoją aplikację Smart Control w ramach trwających ulepszeń w systemie Windows 11, sugerując czystą instalację użytkownikom nadal korzystającym z systemu Windows 10.
Co więcej, firma Microsoft niedawno wydała nową wersję aktualizacji zabezpieczeń dla systemów Windows 11 i 10, a także dla instalacji systemu Windows Server, co odzwierciedla jej stałe zaangażowanie w zapewnianie bezpieczeństwa użytkowników.
Dodaj komentarz ▼