Το Microsoft Defender Σημαίνει ως Απειλή το "WinRing0" σε Εφαρμογές Fan Control και PC Monitoring

Τα τελευταία 24ωρα, αρκετοί χρήστες έχουν αναφέρει ότι εφαρμογές fan control και hardware monitoring που χρησιμοποιούν, όπως εκείνες της Razer, SteelSeries και άλλων κατασκευαστών, λαμβάνουν ειδοποιήσεις από το Microsoft Defender, ο οποίος τις σημαίνει ως δυνητικές απειλές. Το πρόβλημα σχετίζεται με τον "WinRing0x64.sys", έναν οδηγό συστήματος (system driver) που αναγνωρίζεται από το Defender ως "HackTool:Win32/Winring0" και μπαίνει αυτόματα σε καραντίνα.

Ο συγκεκριμένος οδηγός χρησιμοποιείται για την πρόσβαση στο SMBus (System Management Bus), I/O ports, MSR (Model-Specific Register) και το PCI bus, επιτρέποντας σε εφαρμογές να διαβάζουν δεδομένα hardware σε πραγματικό χρόνο. Εφαρμογές όπως το OpenRGB βασίζονται σε αυτόν τον driver για τη διαχείριση της επικοινωνίας με συσκευές χαμηλού bandwidth, ενώ πολλές εφαρμογές fan control στηρίζονται στη βιβλιοθήκη LibreHardwareMonitorLib, η οποία περιλαμβάνει τον ίδιο οδηγό.

Η Microsoft δεν κάνει λάθος – Ο driver είναι όντως ευάλωτος

Παρόλο που πολλοί χρήστες θεώρησαν αρχικά ότι πρόκειται για false positive, το πρόβλημα δεν είναι νέο. Ο driver WinRing0x64.sys είναι γνωστός για μια ευπάθεια που καταγράφηκε ήδη από το 2020 με τον κωδικό CVE-2020-14979. Σύμφωνα με τη National Vulnerability Database (NVD), το κενό ασφαλείας επιτρέπει την ανάγνωση και εγγραφή σε αυθαίρετες τοποθεσίες μνήμης, κάτι που θα μπορούσε να αξιοποιηθεί για buffer overflows ή ακόμη και για πρόσβαση επιπέδου NT AUTHORITY\SYSTEM σε ένα ευάλωτο σύστημα.

Ο δημιουργός της εφαρμογής Fan Control εξήγησε ότι το Defender σωστά επισημαίνει τον driver, καθώς η ευπάθεια υπήρχε πάντα, απλώς δεν είχε σημειωθεί επίσημα ως απειλή μέχρι τώρα. Παρόλα αυτά, ο ίδιος τονίζει ότι η ύπαρξη της ευπάθειας δεν σημαίνει ότι οι επηρεαζόμενες εφαρμογές είναι κακόβουλες, αλλά ότι οι χρήστες πρέπει να αξιολογήσουν τον κίνδυνο πριν προχωρήσουν σε οποιαδήποτε ενέργεια.

Τι αλλάζει για τους χρήστες – Ενημερώσεις και Εναλλακτικές

Η Razer ανακοίνωσε ότι η εφαρμογή Synapse 3 έλαβε ενημέρωση ασφαλείας στις 20 Φεβρουαρίου 2025, καταργώντας την εξάρτησή της από τους προβληματικούς οδηγούς. Οι χρήστες που αντιμετωπίζουν προβλήματα καλούνται να αναβαθμίσουν στην πιο πρόσφατη έκδοση του Synapse 3 ή να μεταβούν στο Synapse 4, το οποίο δεν χρησιμοποιεί καθόλου αυτούς τους οδηγούς.

Η αντιμετώπιση της Microsoft σε αυτήν την περίπτωση δεν αφορά ψευδώς θετικές ανιχνεύσεις (false positives) ή ανεπιθύμητες εφαρμογές (PUA), αλλά μια συντονισμένη προσπάθεια απομάκρυνσης ευάλωτων οδηγών από το οικοσύστημα των Windows. Στο ίδιο πλαίσιο, η εταιρεία συστήνει στους χρήστες των Windows 10 να προχωρήσουν σε clean install εάν θέλουν τη μέγιστη δυνατή ασφάλεια, καθώς η νέα τεχνολογία Smart Control στα Windows 11 προσφέρει πιο προηγμένες μεθόδους ανίχνευσης.

Εν τω μεταξύ, η Microsoft κυκλοφόρησε μια νέα ενημέρωση ασφαλείας για το Windows Defender, που περιλαμβάνει βελτιώσεις στον τρόπο ανίχνευσης πιθανών απειλών, ενισχύοντας την προστασία των Windows 10, 11 και Windows Server. Οι χρήστες που εξαρτώνται από τις επηρεαζόμενες εφαρμογές θα πρέπει είτε να αναζητήσουν εναλλακτικές λύσεις είτε να περιμένουν ενημερώσεις από τους προγραμματιστές που θα αντικαταστήσουν τους παλιούς, ευάλωτους οδηγούς.