در چند روز گذشته، کاربران مختلف آنلاین گزارش دادهاند که نرمافزارهای کنترل فن و سایر برنامههای نظارت بر سختافزار کامپیوترشان توسط Microsoft Defender شناسایی شدهاند. برنامههای تحت تأثیر شامل نرمافزارهایی از Razer، SteelSeries و بسیاری دیگر هستند. این برنامهها به دلیل وجود درایور سیستمی “WinRing0x64.sys” که مایکروسافت آن را به عنوان “HackTool:Win32/Winring0” شناسایی کرده، علامتگذاری شدهاند و Defender بلافاصله پس از شناسایی تهدید، آن را قرنطینه میکند.
دراین حال، بحث درستی حول جدی بودن تهدید این درایورها دارد. باور میشود که “WinRing0 یک کتابخانه دسترسی به سختافزار برای ویندوز” است و به برنامههای ویندوز اجازه میدهد تا به “پورتهای I/O، MSR (رجیستر مخصوص مدل) و باس PCI” دسترسی داشته باشند. بعضی از برنامهها مانند OpenRGB، از درایور WinRing0 برای دسترسی به رابط SMBus در کامپیوترهای ویندوزی استفاده میکنند. به معمول افرادی که با این اصطلاح در درایورهای چیپست مانند AMD برخورد کردهاید.
اما مایکروسافت در علامتگذاری این درایور کاملاً اشتباه نیستند. این درایور واقعاً آسیبپذیر است. توسعهدهنده برنامه محبوب رایگان کنترل فن به نام “Fan Control” توضیح داده که برنامههایی مانند این که به درایور LibreHardwareMonitorLib (WinRing0x64.sys) متکی هستند، از نظر فنی به درستی علامتگذاری شدهاند. این به این دلیل است که درایور به صورت تئوری میتواند مورد سوء استفاده قرار گیرد و هنوز وصله نشده است.
جالب است که این درایورها اولین بار در سال 2020 به عنوان آسیبپذیر شناسایی شدند و تحت شناسه “CVE-2020-14979” پیگیری شدهاند. ویژگیهای نقصهای امنیتی این درایورها از نقصهای نقصهای امنیتی سرریز بافر یا پشته هستند. آنها میگویند: “درایورهای WinRing0.sys و WinRing0x64.sys نسخه 1.2.0 در EVGA Precision X1 تا نسخه 1.0.6 به کاربران محلی، از جمله فرآیندهای با یکپارچگی پایین، اجازه میدهند تا مکانهای حافظه را به صورت دلخواه بخوانند و بنویسند.”
این در واقع یک آسیبپذیری شناخته شده است که میتواند به صورت تئوری در یک دستگاه آلوده مورد سوء استفاده قرار گیرد. این درایورها به خودی خود برنامهای مخرب نیستند و نسبت به قبل از علامتگذاری شدن، امنتر یا ناامنتر نشدهاند. بررسی ریسک قبل از هر اقدامی با Defender یک عمل خوب است.
در این راستا Razer نیز بهروزرسانیای درباره برنامه Synapse خود منتشر کرده و به کاربران توصیه میکند که از Synapse 3 به Synapse 4 ارتقا دهند یا در غیر این صورت، به آخرین نسخه Synapse 3 بهروزرسانی کنند. درآخر نیز این در راستای کاری است که در سراسر صنعت در حال مدیریت است. مصمم به این هستیم که همه چیز از قبل ایمن باشد، اما بهروزرسانیهای امنیتی ویندوز و هر بهروزرسانی دیگری که لازم است را نصب کنید.