Какво е WinRing0 и защо Windows Defender го блокира?

  • WinRing0 е драйвер, който позволява хардуерен достъп на ниско ниво в Windows.
  • Microsoft Defender го идентифицира като заплаха поради минали уязвимости.
  • Множество приложения за наблюдение и контрол зависят от този драйвер.
  • Дебатът между функционалността, сигурността и разходите за сертифициране продължава.
Daniel Terrasa

7 Minutos

WinRing0

През последните седмици, Хиляди потребители на Windows се сблъскаха с неочаквана ситуация: Инструментите, които те използват от дълго време за управление на вентилатори, наблюдение на температурите или персонализиране на RGB осветлението на компютрите си, внезапно спряха да работят. Виновникът изглежда е стар познат: WinRing0, драйвер за достъп до ниското ниво на операционната система, която след актуализация на Microsoft Defender, започна да се идентифицира като заплаха за сигурността.

Но какво е точно WinRing0 и защо задейства всички аларми? Наистина ли е вирус или фалшиво положително? За да разберете това, трябва да разберете колко от помощните програми, които използваме всеки ден за управление на хардуера на нашия компютър, работят. В тази статия ще обясним подробно какво стои зад срива на WinRing0 и какви решения се обмислят в индустрията.

Какво е WinRing0 и за какво се използва?

WinRing0 е a драйвер с отворен код което позволява на програмите да осъществяват директен достъп до системния хардуер, без да преминават през абстракционните слоеве на операционната система. Това го прави особено полезен за приложения, които изискват точна информация в реално време върху състоянието на хардуера, като монитори за температура, контролери за вентилатори или инструменти за сравнение.

Популярни програми като Контрол на вентилатора, отворен хардуерен монитор, HWiNFO, CapFrameX или SignalRGB са използвали WinRing0 в техните функции за наблюдение или разширени настройки като скорост на вентилатора и RGB ефекти. Този драйвер действа като посредник между софтуера и хардуера и най-голямото му предимство е, че има директен достъп до регистрите и сегментите на паметта на системата.

Причината толкова много приложения да го използват е проста: Има много малко безплатни, широко поддържани и относително сигурни опции, които позволяват този тип достъп в Windows. И доскоро WinRing0 изпълняваше тази функция перфектно, без да създава проблеми. До сега.

Драйверите на WinRing0, идентифицирани като заплаха

Защо Windows Defender сега го маркира като заплаха

Всичко гръмна в средата на март 2025 г., когато Windows Defender започна да класифицира WinRing0 като "hacktool" или злонамерен софтуер. Инструментът за сигурност на Microsoft започна да го блокира автоматично, карайки всяко приложение, което го използва, да спре да работи правилно. Това предизвика хаос сред потребителите, които за една нощ загубиха основните функции на любимите си приложения за управление на системата.

Веднага, Вентилаторите започнаха да се въртят на максимална скорост неконтролируемо, RGB осветлението стана непредвидимо и програмите дори не стартираха. Технологичната общност се обедини, за да разбере какво се случва и скоро откри, че основната причина е, че WinRing0, или по-скоро проблемната му история, отново го е поставила на прицела на Microsoft.

Основната причина е в уязвимост, регистрирана под код CVE-2020-14979, открит през 2020 г. Той позволи на неадминистративни процеси да четат и записват в произволни места в паметта. На практика това може да се използва за ескалиране на привилегии и придобиване на контрол върху компрометираната система. Въпреки че това е стара версия, Microsoft реши да бъде по-строг и Считайте всяка версия без скорошен цифров подпис за опасна, дори ако уязвимостта не е активна.

Фалшива положителна или реална заплаха?

Спорът е сервиран. Много разработчици и експерти по сигурността вярват в това Водачът сам по себе си не представлява опасност ако се използва с надежден софтуер. Всъщност разработчикът на Fan Control Remi Mercier твърди, че повечето от засегнатите инструменти са легитимни и че това е широко разпространен фалшив положителен резултат.

Други обаче квалифицират това, Въпреки че драйверът не е злонамерен софтуер по подразбиране, той е отворена врата за потенциални атаки. ако някой го манипулира или използва с лоши намерения. Способността му да получава неограничен достъп до ядрото на Windows го прави привлекателна цел за киберпрестъпниците.

Microsoft, от своя страна, заяви, че ще поддържа политиката си за блокиране на неподписани драйвери и преразглежда своите алгоритми за откриване, за да избегне фалшиви положителни резултати. Междувременно, Потребителите трябва да изберат да спрат да използват тези инструменти или ръчно да добавят изключения в Windows Defender, нещо, което не всеки препоръчва поради последиците за сигурността.

winring0

Кои програми и потребители са били засегнати?

Списъкът на засегнатия софтуер е обширен. Всяко приложение, което зависи от WinRing0, е било компрометирано до известна степен. Ето някои от най-важните:

  • Фен контрол
  • CapFrameX
  • OpenRGB
  • HWiNFO
  • Безплатен хардуерен монитор
  • Razer Synapse
  • Двигател SteelSeries
  • MSI Afterburner
  • ZenTimings

Съобщените проблеми варират от обща нестабилност към неконтролирани вентилатори, загуба на достъп до сензори или грешки при изпълнение. Някои потребители са успели да заобиколят това, като добавят изключения към своята антивирусна програма, но мнозина смятат това за опасно, особено ако не знаят как да идентифицират безопасни версии на драйвера.

Алтернативи на WinRing0 и проблема с цифровия подпис

В лицето на тази криза, Някои разработчици премахват WinRing0 от своите инструменти, замяната му с алтернативни контролери. Проблемът е, че сега Microsoft изисква всеки драйвер за достъп до ядрото да бъде цифрово подписан и за да го направи, разработчикът трябва да е регистрирана компания и да плаща значителни такси. Отворен код или отделни проекти, освен ако нямат външно финансиране или подкрепа, трудно могат да отговорят на това изискване.

Тук идва iBuyPower, популярната марка за компютърни игри, която обяви намерението си да спонсорирайте модерна, подписана версия на WinRing0 така че всички разработчици да могат да го използват, без да бъдат блокирани от Windows Defender.

winring0

Какво ще кажете за дългосрочната сигурност?

Дори ако успеете да се върнете към използването на подписана и защитена версия на WinRing0, в основата на дебата остава сигурността. Тези типове драйвери позволяват дълбок достъп до системата и дори ако са подписани, Ако нападател успее да подмени този подпис, той може да използва същия шлюз.

Ето защо някои експерти предполагат, че единственото стабилно решение е това Microsoft предлага официален драйвер, одитиран и поддържан от тях, което позволява достъп до хардуера при определени контролирани условия. Това би премахнало необходимостта от използване на контролери на трети страни, които са уязвими към грешки при поддръжката или злоупотреба.

Това, което започна като фалшиво положително разкри уязвимост, която е известна от години и принуди индустрията да търси алтернативни решения, които не разчитат на високорискови драйвери. Въпреки че може да се намери временно решение чрез iBuyPower, текущата тенденция се отдалечава от WinRing0 към нови, по-сигурни и регулирани стандарти за достъп до хардуер.

А що се отнася до системното ядро, дори една малка уязвимост може да има глобален ефект.