Система Microsoft Defender за последние несколько дней пометила несколько приложений для управления вентиляторами и мониторинга другого оборудования игровых ПК, в том числе от Razer, SteelSeries и других компаний. Эти приложения помечаются из-за базового системного драйвера «WinRing0x64.sys», который Microsoft определяет как «HackTool:Win32/Winring0», а защитник помещает в карантин сразу после обнаружения.
WinRing0 — это библиотека доступа к оборудованию для Windows, которая позволяет приложениям получать доступ к портам ввода-вывода, MSR (регистру, специфичному для модели) и шине PCI. Например, OpenRGB использует драйвер WinRing0 для доступа к интерфейсу SMBus на ПК с Windows. SMBus или шина управления системой помогает в коммуникации между устройствами с низкой пропускной способностью.
Разработчик популярного бесплатного приложения для управления вентилятором под названием Fan Control объяснил, что такие приложения, которые полагаются на драйвер LibreHardwareMonitorLib с открытым исходным кодом (WinRing0x64.sys), помечаются технически правильно. Он отметил, что драйвер теоретически может быть использован для атак, так как остаётся непропатченным. «Этот драйвер ядра всегда имел известную уязвимость, которая теоретически может быть использована на заражённой машине. Драйвер или сама программа не являются вредоносными. Хорошей практикой является оценка риска, прежде чем предпринимать какие-либо действия с Defender», — пояснил он.
Уязвимость драйверов впервые заметили ещё в 2020 году, она отслеживалась под идентификатором CVE-2020-14979. Баг позволяет считывать и записывать в произвольные области памяти указатели, которые являются характеристиками уязвимостей переполнения буфера или стека. Это наделяет любого пользователя привилегиями NT AUTHORITY\SYSTEM, если сопоставить \Device\PhysicalMemory с вызывающим процессом.
Razer уже выпустила обновление для своего приложения Synapse и рекомендует пользователям обновиться до версии 4. В ней отказались от уязвимых драйверов.
Ранее Microsoft Defender начал помечать утилиту Flyby11 как PUA или потенциально нежелательное приложение. Она позволяет пользователям обходить проверку системных требований Windows 11, в том числе в версии 24H2.
ссылка на оригинал статьи https://habr.com/ru/articles/893730/
Добавить комментарий