Mehrere Programme zur Lüftersteuerung oder Hardware-Überwachung wurden von Microsoft als Bedrohung erkannt, doch dieses Mal handelt es sich wirklich nicht um einen Fehlalarm.

Wenn Sie einige Programme zur Steuerung der Lüftergeschwindigkeit oder zur Hardwareüberwachung verwenden, stoßen Sie möglicherweise auf Bedrohungen, die von Microsoft Defender erkannt und automatisch isoliert werden. Die von Microsoft vergebene Bezeichnung ist das Hacking-Tool Winring0 (HackTool: Win32/Winring0).

Obwohl Microsoft Defender häufig Fehlalarme erzeugt, ist es interessant, dass es sich dieses Mal nicht um Fehlalarme handelt, da der von dieser Software aufgerufene Treiber WinRing0x64.sys Sicherheitslücken aufweist.

WinRing0 ist die Hardwarezugriffsbibliothek von Windows NT. Es wird hauptsächlich verwendet, um Software den Zugriff auf I/O-Ports, MSR- und PCI-Busse zu erleichtern. Viele Softwareprogramme verwenden den Open-Source-Treiber LibreHardwareMonitorLib, nämlich WinRing0x64.sys.

Der Entwickler des Lüftersteuerungsprojekts FanControl sagte:

Viele von Ihnen haben berichtet, dass Microsoft Defender begonnen hat, den LibreHardwareMonitorLib-Treiber mit WinRing0x64.sys zu markieren. Sie müssen nicht weiter berichten, da mir diese Situation ebenfalls bekannt ist.

In diesem Kernel-Treiber gibt es immer wieder bekannte Schwachstellen, die theoretisch auf einem infizierten Rechner ausgenutzt werden können. Der Treiber oder die Software selbst ist nicht bösartig und die Sicherheit wird durch die Erkennung durch Microsoft nicht erhöht oder verringert. Bevor Sie mit Microsoft Defender Maßnahmen ergreifen (z. B. Wiederherstellen und Hinzufügen zur Whitelist), prüfen Sie am besten zunächst die Risiken.

In diesen Treibern wurde bereits 2020 die Schwachstelle CVE-2020-14979 entdeckt. Diese Schwachstelle kann zum Lesen und Schreiben beliebiger Speicherorte genutzt werden. Hierbei handelt es sich um eine Sicherheitslücke durch Pufferstapelüberlauf. Hacker können diese Sicherheitslücke ausnutzen, um Berechtigungen auf Windows NT-Systemebene zu erhalten.

Einige Entwickler gaben in der Ausgabe an, dass diese Sicherheitslücke schon seit langem bekannt sei, aber wenn sie behoben werde, sei nicht nur ein umfangreiches Neuschreiben von Kernel-Treibern, Anwendungen und Schnittstellen erforderlich, sondern auch der Kauf neuer digitaler Signaturen, was für Entwickler von Open-Source-Projekten relativ teuer sei.

Zudem wissen wir, dass Microsoft sich dieser Schwachstelle schon lange bewusst ist und die Regeln verschärft hat. Microsoft hat bereits verschiedene Anbieter aufgefordert, diesen Treiber vollständig zu blockieren. Ursprünglich war geplant, es im Jahr 2024 vollständig zu verbieten, dann im Januar 2025. Erst jetzt hat Microsoft das Verbot umgesetzt.

Nach der aktuellen Situation scheint sich Microsoft jedoch darüber im Klaren zu sein, dass die Deaktivierung dieses Treibers die normale Nutzung vieler Benutzer beeinträchtigen kann. Daher hat Microsoft das Abfangen von WinRing0x64.sys vorübergehend aufgehoben, wird es aber auf jeden Fall auch in Zukunft weiterhin abfangen.

Das Einzige, was die Softwareentwickler, die diesen Treiber aufrufen, tun können, ist, diesen Treiber aufzugeben. Beispielsweise wurde dieser Treiber durch den von Razer am 20. Februar veröffentlichten Sicherheitspatch gelöscht. Razer-Benutzer müssen ein Upgrade von Synapse3 auf Synapse4 durchführen. Die neue Version enthält diesen Treiber nicht mehr.

Sehen Sie sich die Diskussion an: https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660