#安全資訊 多個風扇控制或硬體監控程式被微軟檢測到威脅,但這次還真不是誤報。被標記的是開源硬體監控專案的核心驅動程式 WinRing0x64.sys,實際上開發者和微軟都早就知道這個驅動存在漏洞,但因為各種原因無法修復,微軟也拖了幾年才決定徹底封禁這個驅動程式。檢視全文:https://ourl.co/108331
如果你使用某些風扇轉速控制或硬體監控程式,可能會碰到被 Microsoft Defender 檢測到威脅並自動隔離的情況,微軟給出的標記是駭客工具 Winring0 (HackTool:Win32/Winring0)。
儘管 Microsoft Defender 經常出現誤報情況,但比較有趣的是這次還真不是誤報,因為這些軟體呼叫的 WinRing0x64.sys 驅動程式確實存在安全漏洞。
WinRing0 是 Windows NT 的硬體訪問庫,主要用來幫助軟體訪問 I/O 埠、MSR 和 PCI 匯流排,不少軟體使用開源的 LibreHardwareMonitorLib 驅動程式也就是 WinRing0x64.sys。
風扇控制專案 FanControl 開發者稱:
你們中的許多人報告 Microsoft Defender 開始標記 LibreHardwareMonitorLib 驅動程式 WinRing0x64.sys,你們不需要進一步報告,因為我也知道這種情況。
此核心驅動程式始終存在已知漏洞,理論上可以在受感染的機器上加以利用,驅動程式或軟體本身並不是惡意的,安全性也不會因為微軟檢測而增高或降低,在使用 Microsoft Defender 採取任何行動前 (例如恢復並新增到白名單),最好先檢查風險。
這些驅動程式最早在 2020 年就被發現 CVE-2020-14979 漏洞,利用該漏洞可以讀取和寫入任意記憶體位置,這屬於緩衝區堆疊溢位類的漏洞,駭客藉助此漏洞可以獲得 Windows NT 系統級許可權。
有開發者在 issue 中表示,這個漏洞早已被知曉,但如果進行修復的話,除了需要大量重寫核心驅動程式、應用程式和介面外,還需要購買新的數字簽名,這對開源專案開發者來說比較昂貴。
更新:
經網友提醒我們發現這個驅動程式最初的開發者其實是硬碟監控程式CrystalDiskMark 和 CrystalDiskInfo 的作者 @hiyohiy,這個驅動程式從 2007 開始就存在了,@hiyohiy 也知道這是個漏洞百出的驅動程式,他自稱是他年輕時候開發的暗黑程式,但因為這個驅動程式使用範圍太廣微軟也難以下手。諸如本文提到的 LibreHardwareMonitorLib 驅動程式也是從@hiyohiy的原始版本里派生出來的。
另外知道微軟早就意識到這個漏洞並收緊規則,微軟此前已經通知各個供應商全面阻止這個驅動程式,最初是準備在 2024 年徹底停用的,然後又計劃到 2025 年 1 月停用,直到現在微軟才實施停用。
不過根據當前最新情況,微軟似乎也意識到停用這個驅動程式後可能影響不少使用者的正常使用,所以微軟暫時解除了 WinRing0x64.sys 的攔截,但後面肯定還會繼續攔截。
對呼叫這個驅動程式的軟體開發商來說唯一能做的就是放棄這個驅動程式,例如雷蛇在 2 月 20 日推出的安全補丁就刪除了這個驅動程式,雷蛇使用者需要從 Synapse 3 升級到 Synapse 4,新版本不再包含這個驅動程式。
檢視討論:https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660