Nos últimos dias, vários utilizadores no Windows 10 e 11 encontram-se a reportar que o Microsoft Defender está a marcar um ficheiro suspeito como potencialmente malicioso nos seus sistemas, com o nome de “Winring0”.
O ficheiro em questão é o WinRing0x64.sys, que se encontra na pasta de drivers do sistema, e é classificado pelo Microsoft Defender como “HackTool:Win32/Winring0”. O Defender procede ainda com a quarentena automática do ficheiro.
No entanto, depois desta tarefa, vários utilizadores relatam que os seus programas de monitorização de ventoinhas, temperaturas e outros similares deixam simplesmente de funcionar. Mas afinal, o que é este ficheiro?
O WinRing0 é uma drive do Windows, usada para aceder a dados do hardware por parte de aplicações dentro do sistema operativo. Por exemplo, este pode ser usado para recolher os dados das temperaturas nos vários sensores do sistema.
Um dos programas que usa este driver é o OpenRGB, uma conhecida aplicação para gerir os LEDs nos sistemas Windows. A aplicação usa o WinRing0 para poder aceder a dados da motherboard em baixo nível, e realizar as ações que tecnicamente permitem controlar os LEDs.
Outra aplicação que faz uso deste ficheiro é a Fan Control, um programa bastante usado no Windows para rapidamente gerir a velocidade das ventoinhas do sistema, e monitorizar a temperatura dos vários sensores existentes.
Embora se possa considerar que esta ação do Microsoft Defender é bastante agressiva, a realidade é que o drive pode ter ações maliciosas. O criador do Fan Control afirma que o WinRing0 usado na versão open source do LibreHardwareMonitorLib (WinRing0x64.sys) – que a maioria destes programas utilizam – encontra-se efetivamente vulnerável a ataques, e pode ser usado para infetar os sistemas.
O driver possui uma vulnerabilidade que pode ser ativamente explorada para permitir aos atacantes infetarem os sistemas associados. Esta falha não foi corrigida nas versões mais recentes, e muito possivelmente é a razão para o Microsoft Defender a considerar maliciosa.
A falha é conhecida desde meados de 2020, mas nunca foi inteiramente corrigida, e muitas aplicações ainda continuam a fazer uso do WinRing0x64.sys para as suas atividades. Alguns programadores podem implementar versões modificadas do WinRing0x64.sys, que não possuem a falha, mas nem todos realizam esta medida e usam a versão publicamente disponível.
A Razer, por exemplo, recomenda aos utilizadores atualizarem para o Synapse 4 de forma a evitarem ter problemas, onde foi implementada uma versão personalizada do WinRing0x64.sys para evitar a exploração da falha.
Portanto, tecnicamente, o Microsoft Defender encontra-se a realizar o que é suposto, considerando o driver como potencialmente malicioso, mas, ao mesmo tempo, este é um componente essencial para muitas aplicações usadas para monitorização e gerir os sensores do sistema.
Nenhum comentário
Seja o primeiro!