了解 PC 監控和風扇控制應用程式中有關「Winring0」的 Windows 11/10 警報

了解 PC 監控和風扇控制應用程式中有關「Winring0」的 Windows 11/10 警報

Microsoft Defender 標記風扇控制應用程式:你需要知道什麼

最近,許多線上用戶反映Microsoft Defender標記了他們的風扇控制和PC硬體監控程式。 Razer 和 SteelSeries 等品牌的知名應用程式均受到影響。該問題是由於檢測到“WinRing0x64.sys”系統驅動程式而出現的,該驅動程式被微軟標記為“HackTool:Win32/Winring0”,並在檢測到後立即被隔離。

了解 WinRing0:功能與風險

WinRing0 驅動程式作為 Windows 的硬體存取庫,使應用程式能夠與 I/O 連接埠、特定模型暫存器 (MSR) 和 PCI 匯流排進行互動。例如,流行的 RGB 照明控制應用程式 OpenRGB 在其GitHub 儲存庫上確認,它依賴 WinRing0 驅動程式與 SMBus 介面進行通信,這有助於設備之間的低頻寬通訊。

合理的擔憂:驅動程式中的漏洞

儘管微軟的做法看似過分,但並非毫無道理。該司機被認為屬於弱勢群體,因此需要謹慎處理。例如,廣泛使用的「風扇控制」應用程式的開發人員表示,依賴開源 LibreHardwareMonitorLib 驅動程式(WinRing0x64.sys)的軟體確實被正確標記。由於該驅動程式尚未修補,因此可能會出現潛在的漏洞。

你們中的許多人報告說 Defender 開始標記 LibreHardwareMonitorLib 驅動程式 (WinRing0x64.sys),你們不需要進一步報告,我知道這一點。

該核心驅動程式一直存在一個已知漏洞,理論上可以在受感染的機器上被利用。驅動程式或程式本身並不具有惡意,且其安全性不會比被標記之前更高或更低。在使用 Defender 採取任何行動之前,最好先檢查風險。

漏洞詳細資訊

與 WinRing0 相關的漏洞於 2020 年首次發現,並在識別碼「CVE-2020-14979」下進行追蹤。 NVD 重點指出:

EVGA Precision X1 中的 WinRing0.sys 和 WinRing0x64.sys 驅動程式 1.2.0 至 1.0.6 允許本機使用者(包括低完整性程序)讀取和寫入任意記憶體位置。這允許任何使用者透過將 \Device\PhysicalMemory 對應到呼叫程序來獲得 NT AUTHORITY\SYSTEM 權限。

Razer 的回應和建議

鑑於這些發展,Razer 就其 Synapse 應用程式發表了一份聲明,建議用戶升級到不使用這些問題驅動程式的 Synapse 4。 Razer社群論壇的一位代表表示:

Synapse 3 於 2025 年 2 月 20 日推出了安全補丁,以擺脫這些驅動程式。

Synapse 4 沒有使用這些驅動程式。我們鼓勵遇到此問題的任何人檢查他們是否正在使用最新版本的 Synapse 3,或升級到 Synapse 4 以獲得最先進的保護和功能。

這與整個產業的處理方式一致。我們提前確保了一切安全,但讓使用者及時更新 Windows 安全性修補程式和任何其他需要的修補程式非常重要。

結論和最佳實踐

這種情況說明這不僅僅是一個誤報或潛在有害應用程式 (PUA) 檢測。作為 Windows 11 持續改進的一部分,微軟一直在積極增強其智慧控制應用程序,建議仍在使用 Windows 10 的用戶進行全新安裝。

此外,微軟最近發布了針對 Windows 11 和 10 以及 Windows Server 安裝的新版本安全性情報更新,體現了他們對使用者安全性的持續承諾。

來源和圖片

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *