3 月 14 日消息,科技媒體 NeoWin 昨日(3 月 13 日)發布博文,報道稱多名用戶反饋,風扇控制及其它 PC 硬件監控應用被微軟 Defender 標記為威脅,影響雷蛇(Razer)、賽睿(SteelSeries)等品牌產品。
驅動程序的背景與風險
這些應用被標記的主要原因,在于其底層使用的“WinRing0x64.sys”系統驅動,微軟將其歸類為“HackTool:Win32 / Winring0”,并在檢測到后立即隔離。
WinRing0 是一個用于 Windows 的硬件訪問庫,支持應用程序訪問 I/O 端口、MSR(特定模型寄存器)和 PCI 總線。
例如,OpenRGB 在其 GitHub 倉庫中表示,它使用 WinRing0 驅動來訪問 Windows PC 上的 SMBus 接口,而 SMBus(系統管理總線)用于低帶寬需求設備之間的通信。
然而,微軟的標記并非完全錯誤。WinRing0 驅動確實存在漏洞。免費風扇控制應用“Fan Control”的開發者解釋,開源 LibreHardwareMonitorLib 驅動(WinRing0x64.sys)存在安全漏洞,理論上會被黑客利用,且尚未修復,因此 Defender 標記為威脅也不能說完全是誤殺。
IT之家查詢公開資料,該驅動早在 2020 年就被曝出存在漏洞,追蹤編號為 CVE-2020-14979,美國國家漏洞數據庫(NVD)指出,該漏洞允許本地用戶(包括低完整性進程)讀取和寫入任意內存位置,從而獲得 NT AUTHORITY\SYSTEM 權限。
行業響應
雷蛇已更新 Synapse 應用,建議用戶從 Synapse 3 升級到 Synapse 4,或更新到 Synapse 3 的最新版本。
雷蛇社區論壇的一位官員表示,Synapse 3 在 2025 年 2 月 20 日推出了安全補丁,擺脫問題驅動,而 Synapse 4 則未使用這些驅動。