در چند روز گذشته، کاربران مختلف آنلاین گزارش دادهاند که نرمافزارهای کنترل فن و سایر برنامههای نظارت بر سختافزار کامپیوترشان توسط Microsoft Defender شناسایی شدهاند. برنامههای تحت تأثیر شامل نرمافزارهایی از Razer، SteelSeries و بسیاری دیگر هستند. این برنامهها به دلیل وجود درایور سیستمی “WinRing0x64.sys” که مایکروسافت آن را به عنوان “HackTool:Win32/Winring0” شناسایی کرده، علامتگذاری شدهاند و Defender بلافاصله پس از شناسایی تهدید، آن را قرنطینه میکند.
مشخص شده که “WinRing0 یک کتابخانه دسترسی به سختافزار برای ویندوز” است و به برنامههای ویندوز اجازه میدهد تا به “پورتهای I/O، MSR (رجیستر مخصوص مدل) و باس PCI” دسترسی داشته باشند.
برای مثال، OpenRGB در مخزن GitHub خود اعلام کرده که “از درایور WinRing0 برای دسترسی به رابط SMBus” در کامپیوترهای ویندوزی استفاده میکند. SMBus یا باس مدیریت سیستم به ارتباط بین دستگاههای با نیاز پهنای باند پایین کمک میکند. احتمالاً با این اصطلاح در درایورهای چیپست مانند AMD برخورد کردهاید.
جالب است که اقدام مایکروسافت در علامتگذاری این درایور کاملاً اشتباه نیست، زیرا این درایور واقعاً آسیبپذیر است. توسعهدهنده برنامه محبوب رایگان کنترل فن به نام “Fan Control” توضیح داده که برنامههایی مانند این که به درایور LibreHardwareMonitorLib (WinRing0x64.sys) متکی هستند، از نظر فنی به درستی علامتگذاری شدهاند. این به این دلیل است که درایور به صورت تئوری میتواند مورد سوء استفاده قرار گیرد زیرا هنوز وصله نشده است.
آنها مینویسند: "بسیاری از شما گزارش کردید که Defender شروع به علامتگذاری درایور LibreHardwareMonitorLib (WinRing0x64.sys) کرده است. نیازی به گزارش بیشتر نیست، من از آن آگاه هستم.
این درایور کرنل همیشه یک آسیبپذیری شناخته شده داشته که میتواند به صورت تئوری در یک دستگاه آلوده مورد سوء استفاده قرار گیرد. درایور یا خود برنامه مخرب نیستند و نسبت به قبل از علامتگذاری شدن، امنتر یا ناامنتر نشدهاند. بررسی ریسک قبل از هر اقدامی با Defender یک عمل خوب است."
این درایورها اولین بار در سال 2020 به عنوان آسیبپذیر شناسایی شدند و تحت شناسه “CVE-2020-14979” پیگیری شدهاند. پایگاه داده ملی آسیبپذیری (NVD) میگوید که این درایورها میتوانند مکانهای حافظه (اشارهگرها) را به صورت دلخواه بخوانند و بنویسند که از ویژگیهای نقصهای امنیتی سرریز بافر یا پشته است. آنها اشاره میکنند:
“درایورهای WinRing0.sys و WinRing0x64.sys نسخه 1.2.0 در EVGA Precision X1 تا نسخه 1.0.6 به کاربران محلی، از جمله فرآیندهای با یکپارچگی پایین، اجازه میدهند تا مکانهای حافظه را به صورت دلخواه بخوانند و بنویسند. این به هر کاربری اجازه میدهد تا با نگاشت \Device\PhysicalMemory به فرآیند فراخوانیکننده، مجوزهای NT AUTHORITY\SYSTEM را به دست آورد.”
در همین حال، Razer نیز بهروزرسانیای درباره برنامه Synapse خود منتشر کرده و به کاربران توصیه میکند که از Synapse 3 به Synapse 4 ارتقا دهند یا در غیر این صورت، به آخرین نسخه Synapse 3 بهروزرسانی کنند. یک مسئول انجمن Razer نوشت:
"Synapse 3 در 20 فوریه 2025 یک وصله امنیتی منتشر کرد تا از این درایورها دور شود. Synapse 4 از این درایورها استفاده نمیکرد. ما به هر کسی که با این مشکل مواجه است توصیه میکنیم مطمئن شود که از آخرین نسخه Synapse 3 استفاده میکند، یا برای پیشرفتهترین محافظت و ویژگیها به Synapse 4 ارتقا دهد.
این در راستای چیزی است که در سراسر صنعت در حال مدیریت است. ما پیشاپیش اطمینان حاصل کردیم که همه چیز از قبل ایمن است، اما بسیار مهم است که کاربران بهروزرسانیهای امنیتی ویندوز و هر بهروزرسانی دیگری که لازم است را نصب کنند."
بنابراین این صرفاً یک مورد مثبت کاذب یا PUA نیست که مایکروسافت با برنامه Smart Control خود با آن برخورد کرده باشد، چیزی که اخیراً به عنوان یک بهبود عمده در ویندوز 11 برجسته کرده و به کاربران ویندوز 10 توصیه میکند از طریق نصب پاک به آن مهاجرت کنند.
همچنین، در اخبار اخیر Defender، مایکروسافت آخرین نسخه بهروزرسانیهای هوش امنیتی را برای تصاویر نصب ویندوز 11، 10 و سرور منتشر کرده است.