一部のファン速度制御プログラムやハードウェア監視プログラムを使用している場合、Microsoft Defender によって検出され、自動的に隔離される脅威に遭遇する可能性があります。 Microsoft によって与えられたラベルは、ハッキング ツール Winring0 (HackTool: Win32/Winring0) です。
Microsoft Defender では誤検知が頻繁に発生しますが、興味深いのは、これらのソフトウェアによって呼び出される WinRing0x64.sys ドライバーにはセキュリティ上の脆弱性があるため、今回は誤検知ではないということです。
WinRing0 は、Windows NT のハードウェア アクセス ライブラリです。これは主に、ソフトウェアが I/O ポート、MSR、および PCI バスにアクセスするのを支援するために使用されます。多くのソフトウェアは、オープン ソースの LibreHardwareMonitorLib ドライバー (WinRing0x64.sys) を使用します。
ファン制御プロジェクト FanControl の開発者は次のように述べています。
Microsoft Defender が WinRing0x64.sys を使用して LibreHardwareMonitorLib ドライバーにフラグを立て始めたと多くの方が報告していますが、私もこの状況を認識しているため、これ以上報告する必要はありません。
このカーネル ドライバーには、理論上、感染したマシン上で悪用される可能性がある既知の脆弱性が常に存在します。ドライバーやソフトウェア自体には悪意はなく、Microsoft の検出によってセキュリティが強化または低下されることはありません。 Microsoft Defender で何らかのアクション (ホワイトリストの復元や追加など) を実行する前に、まずリスクを確認することをお勧めします。
CVE-2020-14979 脆弱性は、2020 年にはこれらのドライバーで発見されました。この脆弱性は、任意のメモリ位置の読み取りおよび書き込みに使用される可能性があります。これはバッファ スタック オーバーフローの脆弱性です。ハッカーはこの脆弱性を利用して Windows NT システムレベルの権限を取得する可能性があります。
この問題の中で一部の開発者は、この脆弱性は以前から知られていたが、修復する場合はカーネルドライバー、アプリケーション、インターフェイスの大量の書き換えが必要になるほか、新しいデジタル署名を購入する必要があり、オープンソースプロジェクトの開発者にとっては比較的高価であると述べた。
さらに、Microsoft はこの脆弱性を以前から認識しており、ルールを強化していたこともわかっています。 Microsoft は以前、このドライバーを完全にブロックするようさまざまなベンダーに通知しました。当初は 2024 年に完全に禁止する予定でしたが、その後 2025 年 1 月に禁止する予定でした。マイクロソフトが禁止を実施したのは今になってです。
ただし、最新の状況によると、Microsoft はこのドライバーを無効にすると多くのユーザーの通常の使用に影響を与える可能性があることを認識しているようで、Microsoft は WinRing0x64.sys の傍受を一時的に解除しましたが、今後も確実に傍受し続けるでしょう。
このドライバーを呼び出したソフトウェア開発者ができる唯一のことは、このドライバーを放棄することです。たとえば、Razer が 2 月 20 日に公開したセキュリティ パッチでは、このドライバーが削除されました。 Razer ユーザーは Synapse3 から Synapse4 にアップグレードする必要があります。新しいバージョンにはこのドライバーは含まれなくなりました。
ディスカッションを表示: https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660