IT之家 3 月 14 日消息,科技媒体 NeoWin 昨日(3 月 13 日)发布博文,报道称多名用户反馈,风扇控制及其它 PC 硬件监控应用被微软 Defender 标记为威胁,影响雷蛇(Razer)、赛睿(SteelSeries)等品牌产品。
驱动程序的背景与风险
这些应用被标记的主要原因,在于其底层使用的“WinRing0x64.sys”系统驱动,微软将其归类为“HackTool:Win32 / Winring0”,并在检测到后立即隔离。
WinRing0 是一个用于 Windows 的硬件访问库,支持应用程序访问 I/O 端口、MSR(特定模型寄存器)和 PCI 总线。
例如,OpenRGB 在其 GitHub 仓库中表示,它使用 WinRing0 驱动来访问 Windows PC 上的 SMBus 接口,而 SMBus(系统管理总线)用于低带宽需求设备之间的通信。
然而,微软的标记并非完全错误。WinRing0 驱动确实存在漏洞。免费风扇控制应用“Fan Control”的开发者解释,开源 LibreHardwareMonitorLib 驱动(WinRing0x64.sys)存在安全漏洞,理论上会被黑客利用,且尚未修复,因此 Defender 标记为威胁也不能说完全是误杀。
IT之家查询公开资料,该驱动早在 2020 年就被曝出存在漏洞,追踪编号为 CVE-2020-14979,美国国家漏洞数据库(NVD)指出,该漏洞允许本地用户(包括低完整性进程)读取和写入任意内存位置,从而获得 NT AUTHORITY\SYSTEM 权限。
行业响应
雷蛇已更新 Synapse 应用,建议用户从 Synapse 3 升级到 Synapse 4,或更新到 Synapse 3 的最新版本。
雷蛇社区论坛的一位官员表示,Synapse 3 在 2025 年 2 月 20 日推出了安全补丁,摆脱问题驱动,而 Synapse 4 则未使用这些驱动。
