Почему Microsoft Defender помечает драйвер «Winring0» в приложениях для мониторинга ПК

В последние дни пользователи Windows 11 и Windows 10 сообщают о том, что Microsoft Defender помечает популярные приложения для управления вентиляторами и мониторинга оборудования как потенциально опасные. Проблема связана с системным драйвером Winring0x64.sys, который используется во многих таких программах. Microsoft классифицирует этот драйвер как Hacktool: Win32/Winring0, что вызывает автоматическую блокировку угрозы сразу после её обнаружения. Рассмотрим подробнее причины этой ситуации, её последствия и рекомендации для пользователей.

Что такое Hacktool: Win32/Winring0?

Определение угрозы

• Hacktool: Win32/Winring0 — это классификация, используемая Microsoft Defender для обозначения драйвера Winring0x64.sys, который может быть использован для несанкционированного доступа к системным ресурсам.
• Этот инструмент изначально разработан для легитимных целей, таких как управление оборудованием и мониторинг температуры, но его функциональность может быть эксплуатирована злоумышленниками.

Как работает угроза

• Драйвер предоставляет низкоуровневый доступ к аппаратным компонентам, включая возможность чтения и записи данных в произвольные области памяти.
• Это делает его потенциально опасным, так как злоумышленники могут использовать его для повышения привилегий или выполнения вредоносных операций.

Читайте также: Как отключить брандмауэр в Windows 10

Причины блокировки драйвера

Уязвимость драйвера

• Драйвер Winring0x64.sys был классифицирован как уязвимый ещё в 2020 году под идентификатором CVE-2020-14979.
• Согласно данным Национальной базы данных уязвимостей (NVD), этот драйвер позволяет локальным пользователям, включая процессы с низкими привилегиями, читать и записывать данные в произвольные области памяти.
• Это может привести к повышению привилегий до уровня NT Authority\System, что представляет серьёзную угрозу безопасности.

Реакция разработчиков

Разработчики программного обеспечения, таких как Control Fan Control и Razer Synapse, признали проблему. Например:

• Разработчик Control Fan Control отметил, что драйвер действительно уязвим, но его использование не является злонамеренным. Тем не менее, пользователям рекомендуется оценить риски перед дальнейшим использованием.
• Razer выпустила обновление для своего приложения Synapse 3, устранив зависимость от уязвимых драйверов. Также компания рекомендует перейти на Synapse 4, которое не использует эти компоненты.

Рекомендации для пользователей

Что делать, если вы столкнулись с проблемой?

1. Обновите программы:
   • Для пользователей Razer Synapse: обновитесь до последней версии Synapse 3 или переходите на Synapse 4.
   • Для других приложений: проверьте наличие обновлений и следуйте рекомендациям разработчиков.
2. Оцените риски:
   • Если использование уязвимого драйвера критично для работы вашего ПК, тщательно взвесьте возможные последствия.
3. Используйте альтернативы:
   • Microsoft рекомендует использовать встроенные инструменты Windows или безопасные альтернативы для мониторинга оборудования.
4. Проверьте статус угрозы в Defender:
   • Если вы уверены в безопасности приложения, вы можете добавить его в список исключений в Microsoft Defender. Однако это не рекомендуется без полного понимания рисков.

Читайте также: Как защитить компьютер от вирусов и хакеров на Windows 11

Заключение

Microsoft правильно отметила драйвер Winring0x64.sys как уязвимый, поскольку он представляет реальную угрозу безопасности. Хотя это может вызвать неудобства у пользователей, такие действия направлены на защиту систем от потенциальных атак. Разработчики уже работают над исправлениями, и пользователям рекомендуется обновлять свои приложения для обеспечения максимальной безопасности.