Антивирус Windows 11 и Windows 10 блокирует драйвер WinRing0x64.sys, используемый в популярных приложениях для мониторинга ПК

В течение последних нескольких дней различные пользователи в сети сообщали, что их приложения для управления вентиляторами и мониторинга оборудования ПК помечаются антивирусной программой Microsoft Defender как вредоносные.

Среди затронутых программ есть приложения от Razer, SteelSeries и многих других компаний. Эти приложения помечаются из-за базового системного драйвера «WinRing0x64.sys», который Microsoft помечает как «HackTool:Win32/Winring0», и Защитник Windows немедленно помещает угрозу в карантин после обнаружения.

WinRing0 — это библиотека доступа к оборудованию для Windows, которая позволяет приложениям Windows получать доступ к портам ввода-вывода, MSR (регистру, специфичному для модели) и шине PCI.

Например, проект OpenRGB заявляет в своем репозитории GitHub, что использует драйвер WinRing0 для доступа к интерфейсу SMBus на ПК с Windows. SMBus или шина управления системой помогает в коммуникации между устройствами с низкой пропускной способностью.

К Microsoft тут действительно не так много вопросов, поскольку драйвер действительно уязвим. Разработчик популярного бесплатного приложения для управления вентилятором под названием «Fan Control» объяснил, что приложения, которые полагаются на драйвер LibreHardwareMonitorLib с открытым исходным кодом (WinRing0x64.sys), технически правильно помечаются. Драйвер теоретически может эксплуатироваться, поскольку он остается неисправленным.

Разработчик Fan Control написал:

Многие из вас сообщили, что Defender начал помечать драйвер LibreHardwareMonitorLib (WinRing0x64.sys), вам не нужно дополнительно сообщать об этом, я уже в курсе.

Этот драйвер ядра всегда имел известную уязвимость, которая теоретически могла быть использована на зараженной машине. Сам драйвер или программа не являются вредоносными и не стали более или менее безопасными, чем до того, как они были помечены. Рекомендуется оценить риск, прежде чем предпринимать какие-либо действия.

Уязвимость в драйверах впервые была обнаружена в 2020 году и отслеживалась под идентификатором «CVE-2020-14979». NVD (Национальная база данных уязвимостей) утверждает, что он может считывать и записывать данные в произвольные области памяти (указатели), которые являются характеристиками уязвимостей переполнения буфера или стека:

Драйверы WinRing0.sys и WinRing0x64.sys 1.2.0 в EVGA Precision X1 по 1.0.6 позволяют локальным пользователям, включая процессы с низкой степенью целостности, считывать данные и записывать данные в произвольные области памяти. Это позволяет любому пользователю получить привилегии NT AUTHORITY\SYSTEM, сопоставив \Device\PhysicalMemory с вызывающим процессом.

Компания Razer выпустила обновление приложения Synapse и рекомендует пользователям обновиться с Synapse 3 до Synapse 4 или, в противном случае, обновиться до последней версии. Официальный представитель форума сообщества Razer написал:

Synapse 3 включает исправление безопасности от 20 февраля 2025 года, которое позволяет отказаться от уязвимых драйверов.

Synapse 4 не использует эти драйверы.

Мы призываем всех, кто столкнулся с этой проблемой, проверить, что они используют последнюю версию Synapse 3, или обновиться до Synapse 4 для получения самой передовой защиты и функциональности.

Это соответствует мерам, которые принимаются во всей отрасли. Мы пошли дальше и заранее убедились, что все безопасно, но очень важно, чтобы пользователи были в курсе исправлений безопасности Windows и другого ПО.

Таким образом, это вовсе не ложное срабатывание или ПНП, с которым Microsoft справилась с помощью функции безопасности «Интеллектуальное управление приложениями» – Smart App Control (SAC). Кстати, компания недавно выделила «Интеллектуальное управление приложениями» как значительное улучшение в Windows 11, и рекомендует пользователям Windows 10 перейти на новую ОС посредством чистой установки.