إذا كنت تستخدم بعض برامج التحكم في سرعة المروحة أو برامج مراقبة الأجهزة، فقد تواجه تهديدات يتم اكتشافها وعزلها تلقائيًا بواسطة Microsoft Defender. التسمية التي قدمتها Microsoft هي أداة القرصنة Winring0 (HackTool: Win32/Winring0).
على الرغم من أن Microsoft Defender غالبًا ما ينتج نتائج إيجابية كاذبة، إلا أن الأمر المثير للاهتمام هو أنها هذه المرة ليست نتيجة إيجابية كاذبة، لأن برنامج التشغيل WinRing0x64.sys الذي تستدعيه هذه البرامج به ثغرات أمنية.
WinRing0 هي مكتبة الوصول إلى أجهزة Windows NT. يتم استخدامه بشكل أساسي لمساعدة البرامج في الوصول إلى منافذ الإدخال / الإخراج وحافلات MSR و PCI. تستخدم العديد من البرامج برنامج التشغيل LibreHardwareMonitorLib مفتوح المصدر، وهو WinRing0x64.sys.
قال مطور مشروع التحكم في المروحة FanControl:
أبلغ العديد منكم أن Microsoft Defender بدأ في وضع علامة على برنامج التشغيل LibreHardwareMonitorLib باستخدام WinRing0x64.sys، ولست بحاجة إلى الإبلاغ أكثر لأنني على علم بهذا الموقف أيضًا.
توجد دائمًا ثغرات أمنية معروفة في برنامج تشغيل kernel هذا والتي يمكن استغلالها نظريًا على جهاز مصاب. برنامج التشغيل أو البرنامج نفسه ليس ضارًا، ولن يتم زيادة الأمان أو تقليله بسبب اكتشاف Microsoft. قبل اتخاذ أي إجراء باستخدام Microsoft Defender (مثل الاستعادة والإضافة إلى القائمة البيضاء)، من الأفضل التحقق من المخاطر أولاً.
تم اكتشاف الثغرة الأمنية CVE-2020-14979 في برامج التشغيل هذه في وقت مبكر من عام 2020. ويمكن استخدام هذه الثغرة الأمنية لقراءة وكتابة مواقع الذاكرة العشوائية. هذه ثغرة أمنية لتجاوز سعة مكدس المخزن المؤقت. يمكن للمتسللين استخدام مشكلة عدم الحصانة هذه للحصول على أذونات على مستوى نظام Windows NT.
وذكر بعض المطورين في المشكلة أن هذه الثغرة الأمنية معروفة منذ فترة طويلة، ولكن إذا تم إصلاحها، بالإضافة إلى أنها تتطلب قدرًا كبيرًا من إعادة كتابة برامج تشغيل kernel والتطبيقات والواجهات، فستحتاج أيضًا إلى شراء توقيعات رقمية جديدة، وهو أمر مكلف نسبيًا لمطوري المشاريع مفتوحة المصدر.
بالإضافة إلى ذلك، نحن نعلم أن Microsoft كانت على علم بهذه الثغرة الأمنية منذ فترة طويلة وشددت القواعد. لقد قامت Microsoft مسبقًا بإعلام العديد من البائعين بحظر برنامج التشغيل هذا بشكل كامل. كان من المخطط في البداية حظره بالكامل في عام 2024، ثم تم التخطيط لحظره في يناير 2025. والآن فقط قامت Microsoft بتنفيذ الحظر.
ومع ذلك، وفقًا للموقف الأخير، يبدو أن Microsoft تدرك أن تعطيل برنامج التشغيل هذا قد يؤثر على الاستخدام العادي للعديد من المستخدمين، لذلك قامت Microsoft برفع اعتراض WinRing0x64.sys مؤقتًا، لكنها ستستمر بالتأكيد في اعتراضه في المستقبل.
الشيء الوحيد الذي يمكن لمطوري البرامج الذين يطلقون على برنامج التشغيل هذا فعله هو التخلي عن برنامج التشغيل هذا. على سبيل المثال، قام التصحيح الأمني الذي أطلقته شركة Razer في 20 فبراير بحذف برنامج التشغيل هذا. يحتاج مستخدمو Razer إلى الترقية من Synapse3 إلى Synapse4. الإصدار الجديد لم يعد يحتوي على برنامج التشغيل هذا.
عرض المناقشة: https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660