В течение последних нескольких дней различные пользователи в сети сообщали, что их приложения для управления вентиляторами и мониторинга оборудования ПК помечаются антивирусной программой Microsoft Defender как вредоносные.
Среди затронутых программ есть приложения от Razer, SteelSeries и многих других компаний. Эти приложения помечаются из-за базового системного драйвера «WinRing0x64.sys», который Microsoft помечает как «HackTool:Win32/Winring0», и Защитник Windows немедленно помещает угрозу в карантин после обнаружения.
WinRing0 — это библиотека доступа к оборудованию для Windows, которая позволяет приложениям Windows получать доступ к портам ввода-вывода, MSR (регистру, специфичному для модели) и шине PCI.
Например, проект OpenRGB заявляет в своем репозитории GitHub, что использует драйвер WinRing0 для доступа к интерфейсу SMBus на ПК с Windows. SMBus или шина управления системой помогает в коммуникации между устройствами с низкой пропускной способностью.
К Microsoft тут действительно не так много вопросов, поскольку драйвер действительно уязвим. Разработчик популярного бесплатного приложения для управления вентилятором под названием «Fan Control» объяснил, что приложения, которые полагаются на драйвер LibreHardwareMonitorLib с открытым исходным кодом (WinRing0x64.sys), технически правильно помечаются. Драйвер теоретически может эксплуатироваться, поскольку он остается неисправленным.
Разработчик Fan Control написал:
Многие из вас сообщили, что Defender начал помечать драйвер LibreHardwareMonitorLib (WinRing0x64.sys), вам не нужно дополнительно сообщать об этом, я уже в курсе.
Этот драйвер ядра всегда имел известную уязвимость, которая теоретически могла быть использована на зараженной машине. Сам драйвер или программа не являются вредоносными и не стали более или менее безопасными, чем до того, как они были помечены. Рекомендуется оценить риск, прежде чем предпринимать какие-либо действия.
Уязвимость в драйверах впервые была обнаружена в 2020 году и отслеживалась под идентификатором «CVE-2020-14979». NVD (Национальная база данных уязвимостей) утверждает, что он может считывать и записывать данные в произвольные области памяти (указатели), которые являются характеристиками уязвимостей переполнения буфера или стека:
Драйверы WinRing0.sys и WinRing0x64.sys 1.2.0 в EVGA Precision X1 по 1.0.6 позволяют локальным пользователям, включая процессы с низкой степенью целостности, считывать данные и записывать данные в произвольные области памяти. Это позволяет любому пользователю получить привилегии NT AUTHORITY\SYSTEM, сопоставив \Device\PhysicalMemory с вызывающим процессом.
Компания Razer выпустила обновление приложения Synapse и рекомендует пользователям обновиться с Synapse 3 до Synapse 4 или, в противном случае, обновиться до последней версии. Официальный представитель форума сообщества Razer написал:
Synapse 3 включает исправление безопасности от 20 февраля 2025 года, которое позволяет отказаться от уязвимых драйверов.
Synapse 4 не использует эти драйверы.
Мы призываем всех, кто столкнулся с этой проблемой, проверить, что они используют последнюю версию Synapse 3, или обновиться до Synapse 4 для получения самой передовой защиты и функциональности.
Это соответствует мерам, которые принимаются во всей отрасли. Мы пошли дальше и заранее убедились, что все безопасно, но очень важно, чтобы пользователи были в курсе исправлений безопасности Windows и другого ПО.
Таким образом, это вовсе не ложное срабатывание или ПНП, с которым Microsoft справилась с помощью функции безопасности «Интеллектуальное управление приложениями» – Smart App Control (SAC). Кстати, компания недавно выделила «Интеллектуальное управление приложениями» как значительное улучшение в Windows 11, и рекомендует пользователям Windows 10 перейти на новую ОС посредством чистой установки.
Последние статьи #Windows
• Антивирус Windows 11 и Windows 10 блокирует драйвер WinRing0x64.sys, используемый в популярных приложениях для мониторинга ПК
• Microsoft представила Copilot for Gaming — новый ИИ-ассистент Xbox для помощи в играх
• Microsoft обновляет «Ножницы» и «Блокнот» в Windows 11: Новые функции для инсайдеров
• Обновление KB5053657 (Build 22631.5116) Preview для Windows 11, версия 23H2
• Обновление KB5053643 (Build 19045.5674) Preview для Windows 10, версия 22H2
• Производительность процессоров AMD Ryzen 9950X3D/9800X3D в Windows 10 оказалась выше, чем в Windows 11