如果你使用某些风扇转速控制或硬件监控程序,可能会碰到被 Microsoft Defender 检测到威胁并自动隔离的情况,微软给出的标记是黑客工具 Winring0 (HackTool:Win32/Winring0)。
尽管 Microsoft Defender 经常出现误报情况,但比较有趣的是这次还真不是误报,因为这些软件调用的 WinRing0x64.sys 驱动程序确实存在安全漏洞。
WinRing0 是 Windows NT 的硬件访问库,主要用来帮助软件访问 I/O 端口、MSR 和 PCI 总线,不少软件使用开源的 LibreHardwareMonitorLib 驱动程序也就是 WinRing0x64.sys。
风扇控制项目 FanControl 开发者称:
你们中的许多人报告 Microsoft Defender 开始标记 LibreHardwareMonitorLib 驱动程序 WinRing0x64.sys,你们不需要进一步报告,因为我也知道这种情况。
此内核驱动程序始终存在已知漏洞,理论上可以在受感染的机器上加以利用,驱动程序或软件本身并不是恶意的,安全性也不会因为微软检测而增高或降低,在使用 Microsoft Defender 采取任何行动前 (例如恢复并添加到白名单),最好先检查风险。
这些驱动程序最早在 2020 年就被发现 CVE-2020-14979 漏洞,利用该漏洞可以读取和写入任意内存位置,这属于缓冲区堆栈溢出类的漏洞,黑客借助此漏洞可以获得 Windows NT 系统级权限。
有开发者在 issue 中表示,这个漏洞早已被知晓,但如果进行修复的话,除了需要大量重写内核驱动程序、应用程序和接口外,还需要购买新的数字签名,这对开源项目开发者来说比较昂贵。
另外知道微软早就意识到这个漏洞并收紧规则,微软此前已经通知各个供应商全面阻止这个驱动程序,最初是准备在 2024 年彻底禁用的,然后又计划到 2025 年 1 月禁用,直到现在微软才实施禁用。
不过根据当前最新情况,微软似乎也意识到禁用这个驱动程序后可能影响不少用户的正常使用,所以微软暂时解除了 WinRing0x64.sys 的拦截,但后面肯定还会继续拦截。
对调用这个驱动程序的软件开发商来说唯一能做的就是放弃这个驱动程序,例如雷蛇在 2 月 20 日推出的安全补丁就删除了这个驱动程序,雷蛇用户需要从 Synapse 3 升级到 Synapse 4,新版本不再包含这个驱动程序。
查看讨论:https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660
