هشدار مایکروسافت: نرم‌افزارهای کنترل فن و سخت‌افزار به دلیل آسیب‌پذیری امنیتی مسدود شدند

در چند روز گذشته، کاربران مختلف آنلاین گزارش داده‌اند که نرم‌افزارهای کنترل فن و سایر برنامه‌های نظارت بر سخت‌افزار کامپیوترشان توسط Microsoft Defender شناسایی شده‌اند. برنامه‌های تحت تأثیر شامل نرم‌افزارهایی از Razer، SteelSeries و بسیاری دیگر هستند. این برنامه‌ها به دلیل وجود درایور سیستمی “WinRing0x64.sys” که مایکروسافت آن را به عنوان “HackTool:Win32/Winring0” شناسایی کرده، علامت‌گذاری شده‌اند و Defender بلافاصله پس از شناسایی تهدید، آن را قرنطینه می‌کند.

مشخص شده که “WinRing0 یک کتابخانه دسترسی به سخت‌افزار برای ویندوز” است و به برنامه‌های ویندوز اجازه می‌دهد تا به “پورت‌های I/O، MSR (رجیستر مخصوص مدل) و باس PCI” دسترسی داشته باشند.

برای مثال، OpenRGB در مخزن GitHub خود اعلام کرده که “از درایور WinRing0 برای دسترسی به رابط SMBus” در کامپیوترهای ویندوزی استفاده می‌کند. SMBus یا باس مدیریت سیستم به ارتباط بین دستگاه‌های با نیاز پهنای باند پایین کمک می‌کند. احتمالاً با این اصطلاح در درایورهای چیپ‌ست مانند AMD برخورد کرده‌اید.

جالب است که اقدام مایکروسافت در علامت‌گذاری این درایور کاملاً اشتباه نیست، زیرا این درایور واقعاً آسیب‌پذیر است. توسعه‌دهنده برنامه محبوب رایگان کنترل فن به نام “Fan Control” توضیح داده که برنامه‌هایی مانند این که به درایور LibreHardwareMonitorLib (WinRing0x64.sys) متکی هستند، از نظر فنی به درستی علامت‌گذاری شده‌اند. این به این دلیل است که درایور به صورت تئوری می‌تواند مورد سوء استفاده قرار گیرد زیرا هنوز وصله نشده است.

آنها می‌نویسند: "بسیاری از شما گزارش کردید که Defender شروع به علامت‌گذاری درایور LibreHardwareMonitorLib (WinRing0x64.sys) کرده است. نیازی به گزارش بیشتر نیست، من از آن آگاه هستم.

این درایور کرنل همیشه یک آسیب‌پذیری شناخته شده داشته که می‌تواند به صورت تئوری در یک دستگاه آلوده مورد سوء استفاده قرار گیرد. درایور یا خود برنامه مخرب نیستند و نسبت به قبل از علامت‌گذاری شدن، امن‌تر یا ناامن‌تر نشده‌اند. بررسی ریسک قبل از هر اقدامی با Defender یک عمل خوب است."

این درایورها اولین بار در سال 2020 به عنوان آسیب‌پذیر شناسایی شدند و تحت شناسه “CVE-2020-14979” پیگیری شده‌اند. پایگاه داده ملی آسیب‌پذیری (NVD) می‌گوید که این درایورها می‌توانند مکان‌های حافظه (اشاره‌گرها) را به صورت دلخواه بخوانند و بنویسند که از ویژگی‌های نقص‌های امنیتی سرریز بافر یا پشته است. آنها اشاره می‌کنند:

“درایورهای WinRing0.sys و WinRing0x64.sys نسخه 1.2.0 در EVGA Precision X1 تا نسخه 1.0.6 به کاربران محلی، از جمله فرآیندهای با یکپارچگی پایین، اجازه می‌دهند تا مکان‌های حافظه را به صورت دلخواه بخوانند و بنویسند. این به هر کاربری اجازه می‌دهد تا با نگاشت \Device\PhysicalMemory به فرآیند فراخوانی‌کننده، مجوزهای NT AUTHORITY\SYSTEM را به دست آورد.”

در همین حال، Razer نیز به‌روزرسانی‌ای درباره برنامه Synapse خود منتشر کرده و به کاربران توصیه می‌کند که از Synapse 3 به Synapse 4 ارتقا دهند یا در غیر این صورت، به آخرین نسخه Synapse 3 به‌روزرسانی کنند. یک مسئول انجمن Razer نوشت:

"Synapse 3 در 20 فوریه 2025 یک وصله امنیتی منتشر کرد تا از این درایورها دور شود. Synapse 4 از این درایورها استفاده نمی‌کرد. ما به هر کسی که با این مشکل مواجه است توصیه می‌کنیم مطمئن شود که از آخرین نسخه Synapse 3 استفاده می‌کند، یا برای پیشرفته‌ترین محافظت و ویژگی‌ها به Synapse 4 ارتقا دهد.

این در راستای چیزی است که در سراسر صنعت در حال مدیریت است. ما پیشاپیش اطمینان حاصل کردیم که همه چیز از قبل ایمن است، اما بسیار مهم است که کاربران به‌روزرسانی‌های امنیتی ویندوز و هر به‌روزرسانی دیگری که لازم است را نصب کنند."

بنابراین این صرفاً یک مورد مثبت کاذب یا PUA نیست که مایکروسافت با برنامه Smart Control خود با آن برخورد کرده باشد، چیزی که اخیراً به عنوان یک بهبود عمده در ویندوز 11 برجسته کرده و به کاربران ویندوز 10 توصیه می‌کند از طریق نصب پاک به آن مهاجرت کنند.

همچنین، در اخبار اخیر Defender، مایکروسافت آخرین نسخه به‌روزرسانی‌های هوش امنیتی را برای تصاویر نصب ویندوز 11، 10 و سرور منتشر کرده است.