在过去的几天里,网上有许多用户报告说,他们的风扇控制和其他 PC 硬件监控应用程序被 Microsoft Defender 标记。受影响的应用程序包括来自 Razer、SteelSeries 等公司的应用程序。这些应用程序被标记的原因是底层的 “WinRing0x64.sys” 系统驱动程序,微软将其警告为 “HackTool:Win32/Winring0”,Defender在检测到威胁后立即将其隔离。
原来,“WinRing0 是 Windows 的硬件访问库”,允许 Windows 应用程序 “访问 I/O 端口、MSR(特定型号寄存器)和 PCI 总线”。
例如,OpenRGB 在其 GitHub 软件仓库中表示,它在 Windows PC 上 “使用 WinRing0 驱动程序访问 SMBus 接口”。SMBus 或系统管理总线有助于低带宽要求设备之间的通信。你可能在 AMD 的芯片组驱动程序中见过这个术语。
有趣的是,由于该驱动程序确实存在漏洞,微软将其标记出来也并非完全错误。流行的免费风扇控制应用程序 “Fan Control” 的开发者解释说,从技术上讲,像这样依赖于开源 LibreHardwareMonitorLib 驱动程序(WinRing0x64.sys)的应用程序被标记是正确的。这是因为该驱动程序理论上可以被利用,因为它仍未打补丁。
他们写道:
你们中的许多人报告说 Defender 开始标记 LibreHardwareMonitorLib 驱动程序 (WinRing0x64.sys),您不需要进一步报告它,我知道它。
此内核驱动程序始终存在一个已知漏洞,理论上可以在受感染的计算机上利用该漏洞。驱动程序或程序本身不是恶意的,并且不会比被标记之前更安全或更不安全。最好在使用 Defender 执行任何作之前查看风险
早在 2020 年,这些驱动程序就被首次检测到存在漏洞,并被追踪到 ID “CVE-2020-14979”。NVD(国家漏洞数据库)称,它可以读写任意内存位置(指针),这是缓冲区或堆栈溢出安全漏洞的特征。它指出:
EVGA Precision X1 至 1.0.6 中的 WinRing0.sys 和 WinRing0x64.sys 驱动程序 1.2.0 允许本地用户(包括低完整性进程)读取和写入任意内存位置。这允许任何用户通过将 \Device\PhysicalMemory 映射到调用进程来获得 NT AUTHORITY\SYSTEM 权限。
同时,Razer 还发布了有关 Synapse 应用程序的更新,建议用户从 Synapse 3 升级到 Synapse 4,或者更新到后者的最新版本。雷蛇社区论坛的一位版主写道:
Synapse 3 于 2025 年 2 月 20 日推出了安全补丁,以摆脱这些驱动程序。
Synapse 4 未使用这些驱动程序。
我们鼓励遇到此问题的任何人检查他们是否正在使用最新版本的 Synapse 3,或升级到 Synapse 4 以获得最先进的保护和功能。
这与整个行业正在处理的情况一致。我们提前确保一切都是安全的,但用户及时了解他们的 Windows 安全补丁和需要的任何其他补丁非常重要。
因此,这根本不是 Microsoft 将处理其 Smart Control 应用程序的误报或 PUA 的情况,它最近强调这是对 Windows 11 的重大改进,并建议用户通过全新安装升级到 Windows 10。
此外,在最近的 Defender 新闻中,Microsoft 发布了适用于 Windows 11、10 和 Server 安装映像的最新版本的安全智能更新。
![Windows 11 Preview Build 22631.5116 发布 [附更新说明]](https://www.pcsofter.com/wp-content/uploads/2025/03/2025030110155329.webp)
![[WIN] Lossless Scaling 小黄鸭 v3.1.0.2 下载](https://www.pcsofter.com/wp-content/uploads/2025/02/2025020517342634.webp)
![谷歌推出 Android 16 Beta 3 [附新功能介绍]](https://www.pcsofter.com/wp-content/uploads/2025/01/2025012410163050.webp)
