科技媒体报道多名用户反馈风扇控制及其他 PC 硬件监控应用被微软 Defender 标记为威胁,影响雷蛇等品牌产品,分析了应用被标记的原因是底层使用的 WinRing0x64.sys 驱动存在漏洞,还介绍了行业对此的响应情况。
在 3 月 14 日,有一则科技相关的消息引起了广泛关注。科技媒体 NeoWin 于 3 月 13 日发布了一篇博文,其中提到有多名用户反馈,一些风扇控制以及其他的 PC 硬件监控应用,竟然被微软 Defender 标记成了威胁。这一情况影响到了包括雷蛇(Razer)、赛睿(SteelSeries)等知名品牌的相关产品。
驱动程序的背景与风险
这些应用之所以被标记,主要是因为它们底层使用了“WinRing0x64.sys”系统驱动。微软将这个驱动归类为“HackTool:Win32 / Winring0”,一旦检测到就会立即进行隔离。
WinRing0 是一个专门用于 Windows 的硬件访问库。它具有强大的功能,能够支持应用程序去访问 I/O 端口、MSR(特定模型寄存器)以及 PCI 总线。
就拿 OpenRGB 来说,它在其 GitHub 仓库中明确表示,自己使用 WinRing0 驱动来访问 Windows PC 上的 SMBus 接口。而 SMBus(系统管理总线)主要用于低带宽需求设备之间的通信。
不过,微软的标记并非毫无道理。WinRing0 驱动实际上确实存在漏洞。免费风扇控制应用“Fan Control”的开发者解释道,开源 LibreHardwareMonitorLib 驱动(也就是 WinRing0x64.sys)存在安全漏洞。从理论上来说,这个漏洞可能会被黑客利用,而且目前该漏洞尚未得到修复。所以,微软 Defender 将其标记为威胁,也不能简单地认为是误判。
经过查询公开资料发现,该驱动早在 2020 年就被曝出存在漏洞,其追踪编号为 CVE - 2020 - 14979。美国国家漏洞数据库(NVD)指出,这个漏洞允许本地用户(包括低完整性进程)读取和写入任意内存位置,从而获得 NT AUTHORITYSYSTEM 权限。
行业响应
面对这一情况,雷蛇迅速做出了反应。雷蛇已经对 Synapse 应用进行了更新,并且建议用户从 Synapse 3 升级到 Synapse 4,或者将 Synapse 3 更新到最新版本。
雷蛇社区论坛的一位官员表示,Synapse 3 在 2025 年 2 月 20 日推出了安全补丁,成功摆脱了问题驱动。而 Synapse 4 则从一开始就未使用这些存在风险的驱动。
本文围绕风扇控制及 PC 硬件监控应用被微软 Defender 标记为威胁这一事件展开,详细分析了应用被标记的原因是底层 WinRing0x64.sys 驱动存在漏洞,该漏洞早在 2020 年就已被发现。同时介绍了雷蛇的应对措施,如更新应用、推出安全补丁等。这一事件提醒了行业要重视硬件驱动的安全性,及时修复漏洞以保障用户的使用安全。
原创文章,作者:东海凝丝,如若转载,请注明出处:https://www.gouwuzhinan.com/archives/35751.html
