WinRing0: Tại sao Windows gắn cờ các ứng dụng giám sát PC và điều khiển quạt là mối đe dọa?

Sáng thứ ba, nhiều game thủ PC thức dậy và phát hiện máy tính của họ dường như đang bị đe dọa. Một “HackTool” có tên WinRing0 đột ngột kích hoạt cảnh báo của Windows Defender, như thể PC của họ đang bị tấn công. Một số máy tính thậm chí bắt đầu hoạt động bất thường – như quạt chạy hết tốc độ – sau khi HackTool bị cách ly.

Tuy nhiên, máy tính của họ không thực sự bị tấn công – ít nhất là chưa.

Khi kiểm tra vị trí Windows Defender phát hiện mối đe dọa, nó nằm trong ứng dụng Fan Control mà nhiều người dùng sử dụng để làm mát PC. Windows Defender đã phá hỏng nó, và đó là lý do quạt chạy loạn xạ. Đối với những người khác, mối đe dọa được phát hiện trong Razer Synapse, SteelSeries Engine, OpenRGB, Libre Hardware Monitor, CapFrameX, MSI Afterburner, OmenMon, FanCtrl, ZenTimings và Panorama9, cùng nhiều ứng dụng khác.

“Hiện tại, tất cả phần mềm giám sát phần cứng của bên thứ ba / mã nguồn mở đều bị ảnh hưởng,” Rémi Mercier, nhà phát triển Fan Control, chia sẻ.

Tất cả các chương trình này đều có điểm chung: chúng đều chứa (hoặc đã từng chứa) một đoạn phần mềm cấp kernel có tên WinRing0. WinRing0 có thể thực sự là một mối đe dọa, thậm chí đã được liên kết với một số phần mềm độc hại nguy hiểm có thể chiếm quyền điều khiển PC.

Tuy nhiên, trên các máy tính có các ứng dụng hữu ích này, không có vụ chiếm quyền điều khiển nào đang diễn ra. Thay vào đó, WinRing0 bị gắn cờ vì đây là một cách không an toàn để các phần mềm giám sát này biết tốc độ quạt PC và màu đèn LED, cùng các thông số khác. WinRing0 phổ biến vì đây là một trong những cách duy nhất Microsoft và ngành công nghiệp PC cho phép họ truy cập phần cứng từ bên trong hệ điều hành Windows.

“Chỉ có hai trình điều khiển Windows miễn phí mà tôi biết có khả năng truy cập các thanh ghi SMBus mà chúng ta cần để điều khiển đèn LED: InpOut32 và WinRing0,” Adam Honse, nhà phát triển OpenRGB, cho biết. “Chúng tôi từng sử dụng InpOut32, nhưng nó xung đột với phần mềm chống gian lận Vanguard của Riot, vì vậy chúng tôi đã chuyển sang WinRing0 vì nó không xung đột.”

Honse và những người khác thừa nhận rằng WinRing0 có thể bị lạm dụng. “Đây không phải là một lỗ hổng bí mật. Đó thực sự là một thư viện được thiết kế để cho phép các ứng dụng không gian người dùng truy cập vào thứ mà chỉ các trình điều khiển kernel mới có thể truy cập,” ông nói.

Microsoft và vấn đề bảo mật

Microsoft đang nỗ lực đóng lỗ hổng tiềm ẩn này. Sau sự cố CrowdStrike làm tê liệt 8,5 triệu thiết bị với một bản cập nhật lỗi vào năm ngoái, Microsoft chịu áp lực phải hạn chế phần mềm có quyền truy cập đặc biệt vào phần cứng cấp thấp.

Thực tế là WinRing0 dễ bị tổn thương đã xâm nhập vào tất cả các loại phần mềm vì nó là một lỗ hổng hữu ích, và một số nhà phát triển hiện cho biết họ đang gặp khó khăn vì Microsoft sẽ tính phí quá cao để khắc phục nó. Một số người thậm chí gọi việc phát hiện của Windows Defender là “báo động giả,” ngụ ý rằng việc sử dụng WinRing0 là an toàn, vì ứng dụng của họ không độc hại và không có cách hiệu quả chi phí nào khác để chúng hoạt động.

Timothy Sun, người sáng lập SignalRGB, cho biết rủi ro bảo mật phức tạp hơn thế. “Vì WinRing0 cài đặt trên toàn hệ thống, chúng tôi nhận ra rằng chúng tôi phụ thuộc vào phiên bản nào được cài đặt đầu tiên trên hệ thống của người dùng. Điều này khiến việc xác minh xem các ứng dụng khác có cài đặt các phiên bản dễ bị tổn thương hay không trở nên cực kỳ khó khăn, khiến người dùng của chúng tôi gặp rủi ro mặc dù chúng tôi đã cố gắng hết sức,” ông nói.

Đó là lý do công ty của ông đầu tư vào giao diện RGB của riêng mình, cuối cùng loại bỏ WinRing0 vào năm 2023 để ủng hộ trình điều khiển SMBus độc quyền. Nhưng các nhà phát triển tôi đã nói chuyện, bao gồm cả Sun, đồng ý rằng đó là một đề xuất tốn kém.

“Tôi sẽ không tô hồng nó – quá trình phát triển đầy thách thức và đòi hỏi nguồn lực kỹ thuật đáng kể,” Sun nói. “Các dự án mã nguồn mở nhỏ không có khả năng tài chính để đi theo con đường đó, cũng như kinh nghiệm phát triển kernel chuyên dụng của Microsoft,” Honse của OpenRGB nói.

Nhưng có thể có một giải pháp thay thế đơn giản hơn: tại sao không khắc phục lỗ hổng trong chính WinRing0? Ba nhà phát triển cho biết WinRing0 đã được vá, nhưng cộng đồng mã nguồn mở không tin rằng họ có thể đủ khả năng để có được phiên bản mới được Microsoft ký – và nếu không có chữ ký số của Microsoft, Windows sẽ không cho phép người dùng cài đặt nó.

iBuyPower, nhà sản xuất PC chơi game được xây dựng sẵn, cho biết họ sẽ cố gắng lấy một WinRing0 được cập nhật và ký – và trả kết quả lại cho các nhà phát triển.

“Nếu giải pháp này hoạt động, chúng tôi sẽ chia sẻ phiên bản cập nhật và được ký của thư viện, để cộng đồng nhà phát triển có thể phân phối các phiên bản mới của ứng dụng của họ với trình điều khiển Microsoft được xác thực,” Robert Teller, giám đốc sản phẩm của Hyte, nói.

Người dùng Razer và Steelseries có thể chỉ cần cập nhật phần mềm của họ lên phiên bản mới nhất để tránh WinRing0, vì cả hai công ty đều cho biết họ đã loại bỏ nó gần đây. Nhưng hãy biết rằng bạn có thể mất một số chức năng do đó. Steelseries vừa loại bỏ hoàn toàn ứng dụng System Monitor của mình để giải quyết lỗ hổng, có nghĩa là game thủ không còn có thể xem dữ liệu hệ thống trên màn hình thiết bị ngoại vi của mình.

Vụ việc này cho thấy sự phức tạp trong việc cân bằng giữa bảo mật và tính tiện dụng trong hệ sinh thái phần mềm PC, đồng thời đặt ra câu hỏi về cách Microsoft có thể hỗ trợ tốt hơn cho các nhà phát triển mã nguồn mở trong việc duy trì và cập nhật các công cụ quan trọng.