Nu este un atac real, ci o alarmă falsă
Ce s -a întâmplat? Gamerii de PC au întâmpinat recent o problemă neașteptată atunci când calculatoarele lor au declanșat alertele Windows Defender din cauza unui driver la nivel de kernel numit WinRing0. Acest software, folosit de diverse aplicații de monitorizare a hardware -ului, a fost semnalat ca o amenințare potențială, ceea ce a determinat să se comporte în mod eronat.
De exemplu, aplicațiile de control al fanilor au fost afectați, ceea ce a dus la ventilatoarele care rulează cu viteze mari după ce instrumentul a fost în carantină. Cu toate acestea, acesta nu a fost un atac real, ci mai degrabă o alarmă falsă cauzată de apărătorul Windows care detectează Winring0 în aplicații precum Control Fan, Razer Synapse, Steelseries Engine și altele.
WinRing0 este un driver la nivel de kernel care permite acestor aplicații să acceseze componente hardware, cum ar fi fanii și luminile LED. Acesta a fost utilizat pe scară largă, deoarece oferă dezvoltatorilor o modalitate de a interacționa cu hardware care este de obicei restricționat în sistemul de operare Windows.
„Există doar două drivere Windows disponibile liber pe care le cunosc, care sunt capabile să acceseze registrele SMBUS de care avem nevoie pentru a putea controla LED -urile: INPOUT32 și WINRING0”, a declarat Adam Honse, dezvoltatorul OpenRGB, pentru The Verge.
OpenRGB a trecut la Winring0 după ce INPOUT32 a intrat în conflict cu software-ul anti-chicotire Vanguard Riot.
Imagine: Github
Decizia Microsoft de a semnaliza Winring0 a lăsat mulți dezvoltatori într -o poziție dificilă. Compania necesită semnarea digitală a șoferilor, un proces care este costisitor și adesea imposibil pentru multe proiecte open-source. „Nu este posibil să solicitați proiecte de hobby non-profit (software gratuit open-source) pentru a plăti aceleași costuri pentru semnarea șoferilor ca și companiile cu scop lucrativ”, a spus Honse. Drept urmare, unii dezvoltatori au în vedere soluții alternative, cum ar fi crearea de drivere de proprietate, deși aceasta este o sarcină intensivă în resurse.
SignalRGB, de exemplu, și -a dezvoltat propriul șofer de SMBUS proprietar pentru a înlocui WinRing0. Cu toate acestea, această abordare nu este viabilă pentru proiecte mai mici din cauza resurselor de inginerie semnificative necesare. „Nu o voi acoperi cu zahăr – procesul de dezvoltare a fost dificil și a necesitat resurse de inginerie semnificative”, a declarat Timothy Sun de la Timothy Sun.
Microsoft a recunoscut problema și își reevaluează logica de detectare pentru a evita falsele pozitive, potrivit Scott Woodgate, directorul general al companiei de protecție a amenințărilor.
În timp ce Microsoft își continuă investigația, unii dezvoltatori sugerează că fixarea vulnerabilității în WinRing0 în sine ar putea fi o soluție mai simplă. Cu toate acestea, obținerea unei versiuni patch -uri semnate de Microsoft rămâne o provocare din cauza costurilor asociate.
Există o anumită speranță pentru o rezoluție. IBUYPOWER, un producător de PC -uri de jocuri pre -construite, intenționează să obțină o versiune actualizată și semnată a WinRing0 pentru a partaja cu dezvoltatorii. Aceasta ar putea oferi o soluție rentabilă pentru multe aplicații afectate. „Dacă această soluție funcționează, vom împărtăși versiunea noastră actualizată și semnată a bibliotecii, astfel încât comunitatea dezvoltatorilor să poată distribui noi versiuni ale aplicațiilor lor cu drivere Microsoft validate”, a declarat directorul produsului Hyte, Robert Teller.
Între timp, utilizatorii de software afectat ar putea avea nevoie să își actualizeze aplicațiile sau să adauge excepții în Windows Defender pentru a menține funcționalitatea. Razer și Steelseries s -au îndepărtat deja de utilizarea WinRing0 în cele mai recente versiuni software, deși acest lucru poate duce la o anumită funcționalitate pierdută.
