Την περασμένοι εβδομάδα, μερικοί gamers διαπίστωσαν ότι οι υπολογιστές τους είχαν ξαφνικά εκτεθεί σε απειλή. Ένα εργαλείο «HackTool» με το όνομα WinRing0 είχε αρχίσει να ενεργοποιεί μια ειδοποίηση από τα Windows Defender, κάνοντάς τους να πιστέψουν ότι οι υπολογιστές τους ήταν υπό επίθεση. Ορισμένοι υπολογιστές άρχισαν να συμπεριφέρονται περίεργα – όπως να εκτοξεύουν τους ανεμιστήρες σε υψηλή ταχύτητα – αφού το HackTool είχε τεθεί σε καραντίνα.
Η αληθινή αιτία της προειδοποίησης των Windows Defender
Η απειλή εντοπίστηκε στην εφαρμογή Fan Control, την οποία χρησιμοποιούν αρκετοί για να ψύχουν τον υπολογιστή τους με έξυπνο τρόπο.
Η ειδοποίηση προήλθε από το WinRing0, που είναι μια βιβλιοθήκη που επιτρέπει στις εφαρμογές να αποκτούν πρόσβαση σε εξειδικευμένα δεδομένα υλικού, όπως η ταχύτητα των ανεμιστήρων και τα χρώματα των LED. Για άλλους χρήστες, η απειλή εντοπίστηκε σε εφαρμογές όπως Razer Synapse, SteelSeries Engine, OpenRGB, Libre Hardware Monitor, CapFrameX, MSI Afterburner, OmenMon, FanCtrl, ZenTimings και Panorama9.
Γιατί οι εφαρμογές παρακολούθησης χρησιμοποιούν το WinRing0
Ο developers της εφαρμογής Fan Control, Rémi Mercier, αναφέρει ότι σχεδόν όλες οι τρίτες εφαρμογές παρακολούθησης υλικού περιλαμβάνουν το WinRing0. Αυτό συμβαίνει γιατί το WinRing0 επιτρέπει σε αυτές τις εφαρμογές να αποκτούν πρόσβαση σε χαμηλού επιπέδου δεδομένα του συστήματος, κάτι που είναι δύσκολο να γίνει με άλλες μεθόδους.
Αν και το WinRing0 μπορεί να είναι επικίνδυνο αν χρησιμοποιηθεί με κακόβουλες προθέσεις, οι συγκεκριμένες εφαρμογές δεν είναι κακόβουλες, αλλά χρησιμεύουν απλώς για παρακολούθηση και έλεγχο του υλικού.
Το πρόβλημα με την ασφάλεια και το WinRing0
Το WinRing0 επιτρέπει στις εφαρμογές να αποκτούν πρόσβαση σε δεδομένα που κανονικά είναι προσβάσιμα μόνο μέσω των kernel drivers.
Ορισμένοι developers, όπως ο Adam Honse από το OpenRGB, παραδέχονται ότι το WinRing0 θα μπορούσε να καταχραστεί από κακόβουλα προγράμματα, καθώς αποτελεί μια δυνατότητα που επιτρέπει στις εφαρμογές να έχουν πρόσβαση σε κρίσιμα δεδομένα του συστήματος. Αυτός είναι και ο λόγος που η Microsoft προσπαθεί να περιορίσει τη χρήση του WinRing0, καθώς μπορεί να είναι επικίνδυνο.
Η επιλογή της Microsoft να περιορίσει τη χρήση του WinRing0
Έπειτα από τα προβλήματα που προκλήθηκαν από μια αναβάθμιση του CrowdStrike πέρυσι, η Microsoft βρίσκεται υπό πίεση να περιορίσει τις δυνατότητες πρόσβασης σε χαμηλού επιπέδου hardware για να αποτρέψει μελλοντικά προβλήματα.
Παρόλο που δεν έχει εξηγήσει γιατί αποφάσισε να ασχοληθεί με το WinRing0 τώρα, η Microsoft έχει αρχίσει να αναθεωρεί τις απαιτήσεις για drivers στις ετήσιες αναβαθμίσεις των Windows και είναι σύνηθες για την εταιρεία να αποκλείει ευπάθειες σταδιακά.
Η χαμένη ευκαιρία για ενημέρωση
Το WinRing0 έχει γίνει ευρέως διαδεδομένο στις εφαρμογές παρακολούθησης γιατί προσφέρει μια χρήσιμη λύση για την πρόσβαση σε δεδομένα hardware.
Ωστόσο, αρκετοί developers, όπως ο Timothy Sun από το SignalRGB, παραδέχονται ότι αυτή η εξάρτηση από το WinRing0 μπορεί να δημιουργήσει προβλήματα ασφάλειας. Για να αποτραπούν τέτοια προβλήματα, η εταιρεία του επένδυσε στην ανάπτυξη ενός δικού της driver RGB, αποφεύγοντας το WinRing0 το 2023.
Η εναλλακτική λύση: Διόρθωση του WinRing0
Εντύπωση προκαλεί το γεγονός ότι το WinRing0 έχει ήδη διορθωθεί, αλλά οι developers της ανοιχτής πηγαίας κοινότητας δεν έχουν τη δυνατότητα να αποκτήσουν την απαραίτητη υπογραφή από τη Microsoft για την ενημέρωση. Χωρίς την υπογραφή της Microsoft, τα Windows δεν επιτρέπουν στους χρήστες να εγκαταστήσουν την νέα έκδοση του driver.
Ο Rémi Mercier εξηγεί ότι το WinRing0 ήταν ένας μοναδικός driver, καθώς το ίδιο το source ήταν ανοιχτό και υπογεγραμμένο από τον δημιουργό του. Για να προχωρήσει μια νέα έκδοση, οι developers θα χρειαστεί να πάρουν την έγκριση της Microsoft και να πληρώσουν για την υπογραφή του driver.
