Se você usar algum controle de velocidade do ventilador ou programas de monitoramento de hardware, poderá encontrar ameaças que são detectadas e isoladas automaticamente pelo Microsoft Defender. O rótulo dado pela Microsoft é a ferramenta de hacking Winring0 (HackTool: Win32/Winring0).

Embora o Microsoft Defender frequentemente produza falsos positivos, o interessante é que desta vez não é um falso positivo, porque o driver WinRing0x64.sys chamado por esses softwares apresenta vulnerabilidades de segurança.

WinRing0 é a biblioteca de acesso de hardware do Windows NT. É usado principalmente para ajudar o software a acessar portas de E/S, barramentos MSR e PCI. Muitos softwares usam o driver LibreHardwareMonitorLib de código aberto, que é WinRing0x64.sys.

O desenvolvedor do projeto de controle de ventilador FanControl disse:

Muitos de vocês relataram que o Microsoft Defender começou a sinalizar o driver LibreHardwareMonitorLib com WinRing0x64.sys. Vocês não precisam relatar mais, pois também estou ciente dessa situação.

Sempre existem vulnerabilidades conhecidas neste driver de kernel que podem, teoricamente, ser exploradas em uma máquina infectada. O driver ou software em si não é malicioso e a segurança não será aumentada ou diminuída devido à detecção da Microsoft. Antes de realizar qualquer ação com o Microsoft Defender (como restaurar e adicionar à lista de permissões), é melhor verificar primeiro os riscos.

A vulnerabilidade CVE-2020-14979 foi descoberta nesses drivers já em 2020. Esta vulnerabilidade pode ser usada para ler e gravar locais de memória arbitrários. Esta é uma vulnerabilidade de estouro de pilha de buffer. Os hackers podem usar esta vulnerabilidade para obter permissões de nível de sistema do Windows NT.

Alguns desenvolvedores afirmaram na edição que esta vulnerabilidade é conhecida há muito tempo, mas se for reparada, além de exigir uma grande reescrita de drivers de kernel, aplicativos e interfaces, também será necessária a aquisição de novas assinaturas digitais, o que é relativamente caro para desenvolvedores de projetos de código aberto.

Além disso, sabemos que a Microsoft está ciente desta vulnerabilidade há muito tempo e reforçou as regras. A Microsoft notificou anteriormente vários fornecedores para bloquear completamente esse driver. Foi inicialmente planejado bani-lo completamente em 2024 e, em seguida, planejado bani-lo em janeiro de 2025. Só agora a Microsoft implementou a proibição.

No entanto, de acordo com a situação mais recente, a Microsoft parece estar ciente de que desabilitar este driver pode afetar o uso normal de muitos usuários, então a Microsoft suspendeu temporariamente a interceptação de WinRing0x64.sys, mas definitivamente continuará a interceptá-lo no futuro.

A única coisa que os desenvolvedores de software que chamam esse driver podem fazer é abandoná-lo. Por exemplo, o patch de segurança lançado pela Razer em 20 de fevereiro excluiu este driver. Os usuários do Razer precisam atualizar do Synapse3 para o Synapse4. A nova versão não contém mais este driver.

Veja a discussão: https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660