近期,许多用户报告称,他们的风扇控制和 PC 硬件监控应用程序被 Microsoft Defender 标记为恶意软件。受影响的应用程序包括来自雷蛇、赛睿等公司的产品。这些应用程序被标记的原因是底层的 WinRing0x64.sys 系统驱动程序,微软将其标记为 “HackTool:Win32/Winring0”,并立即隔离检测到的威胁。
WinRing0 的作用与风险
WinRing0 是一个 Windows 硬件访问库,允许 Windows 应用程序访问 I/O 端口、MSR(模型特定寄存器)和 PCI 总线。例如,OpenRGB 在其 GitHub 存储库中声明,它使用 WinRing0 驱动程序访问 Windows PC 上的 SMBus 接口,而 SMBus(系统管理总线)用于低带宽需求设备之间的通信。
然而,WinRing0 存在已知的安全漏洞,这使得它被标记为潜在威胁。Fan Control 的开发者解释说,依赖于开源 LibreHardwareMonitorLib 驱动程序(WinRing0x64.sys)的应用程序在技术上被正确标记为潜在威胁,因为该驱动程序存在未修补的漏洞,理论上可以被利用。
开发者指出:
这个内核驱动程序一直存在已知的漏洞,理论上可以在受感染的机器上被利用。该驱动程序或程序本身不是恶意的,并且与被标记之前相比,安全性没有更高或更低。在 Defender 采取任何行动之前,审查风险是很好的做法。
漏洞详情
这些驱动程序早在 2020 年就被检测到存在漏洞,并在 CVE-2020-14979 下被跟踪。根据 NVD(国家漏洞数据库) 的描述,该漏洞允许本地用户(包括低完整性进程)读取和写入任意内存位置,这是缓冲区或堆栈溢出安全漏洞的特征。具体来说:
EVGA Precision X1 1.0.6 到 1.2.0 中的 WinRing0.sys 和 WinRing0x64.sys 驱动程序允许本地用户(包括低完整性进程)读取和写入任意内存位置。这允许任何用户通过将
\Device\PhysicalMemory映射到调用进程来获得 NT AUTHORITY\SYSTEM 权限。
厂商的应对措施
Razer 的更新
Razer 也发布了关于其 Synapse 应用程序的更新,建议用户从 Synapse 3 升级到 Synapse 4,或者更新到后者的最新版本。Razer 社区论坛的官员表示:
Synapse 3 于 2025 年 2 月 20 日推出了安全补丁,以摆脱这些驱动程序。
Synapse 4 没有使用这些驱动程序。
我们鼓励遇到此问题的任何人检查他们是否正在使用最新版本的 Synapse 3,或者升级到 Synapse 4 以获得最先进的保护和功能。
用户建议
Razer 强调,用户及时更新 Windows 安全补丁和其他必要的补丁非常重要,这符合整个行业的安全趋势。
微软的立场
微软通过 Microsoft Defender 将这些驱动程序标记为潜在威胁,这并非完全错误。尽管 WinRing0 驱动程序本身并非恶意,但其已知漏洞确实可能被利用。微软建议用户通过其 Smart Control 应用程序管理硬件监控和风扇控制功能,这是 Windows 11 的一项重大改进。对于 Windows 10 用户,微软建议通过全新安装迁移到 Windows 11,以获得更好的安全性和功能体验。
评论