На этой неделе в Сети стали активно появляться сообщения пользователей актуальных операционных систем Windows 10 и 11 о неработоспособности приложений для мониторинга и управления из-за встроенного антивируса Microsoft Defender. «Защитник Windows» стал считать драйвер WinRing0x64.sys вредоносным (HackTool:Win32/Winring0) и помещать его в карантин сразу после обнаружения, сообщает Neowin. Этот драйвер используется многими программами, как с закрытым, так и открытым исходным кодом. Затронуты приложения от Razer, SteelSeries и других компаний, программы OpenRGB, Fan Control и многие другие.
WinRing0 — это библиотека и драйвер для Windows, с помощью которых осуществляется доступ к аппаратному обеспечению компьютера: к портам ввода-вывода, MSR (Model-Specific Register), шине PCI и т.д. Разработчики OpenRGB, например, сообщают в документации, что используют драйвер WinRing0 для доступа к шине SMBus.
Разработчик популярного приложения для управления вентиляторами под названием Fan Control объяснил, что драйвер WinRing0 действительно содержит уязвимость и об этом давно известно. Впервые уязвимость обнаружили в 2020 году, присвоив ей идентификатор CVE-2020-14979.
«Драйверы WinRing0.sys и WinRing0x64.sys версии 1.2.0 в EVGA Precision X1 до версии 1.0.6 позволяют локальным пользователям, включая процессы с низким уровнем целостности, читать и записывать данные в произвольные области памяти. Это позволяет любому пользователю получить привилегии NT AUTHORITY\SYSTEM путем привязки \Device\PhysicalMemory к вызывающему процессу», — говорится в базе данных уязвимостей National Vulnerability Database (NVD). Проблема была решена в EVGA Precision X1 версии 1.0.7, но сам драйвер WinRing0, похоже, так и не исправили.
Теоретически, уязвимость может быть использована вредоносным программным обеспечением для получения системных привилегий. Сам по себе драйвер не является вредоносным, его код открыт и доступен для изучения. Тем не менее, уязвимость существует, а значит существуют и некоторые риски для безопасности, пользователям остаётся либо принять эти риски, либо отказаться от использования программного обеспечения.
Некоторые компании уже отреагировали на проблему. В частности, Razer выпустила обновления для фирменных приложений Synapse. Так, 20 февраля для Synapse 3 выпустили обновление безопасности, в котором отказались от использования уязвимого драйвера, новейшее приложение Synapse 4 данный драйвер не использует. В The Verge отметили, что Synapse 2 тоже не использует WinRing0.