多个风扇控制或硬件监控程序被微软检测到威胁 但这次还真不是误报

如果你使用某些风扇转速控制或硬件监控程序，可能会碰到被MicrosoftDefender检测到威胁并自动隔离的情况，微软给出的标记是黑客工具Winring0(HackTool:Win32/Winring0)。

尽管MicrosoftDefender经常出现误报情况，但比较有趣的是这次还真不是误报，因为这些软件调用的WinRing0x64.sys驱动程序确实存在安全漏洞。

WinRing0是WindowsNT的硬件访问库，主要用来帮助软件访问I/O端口、MSR和PCI总线，不少软件使用开源的LibreHardwareMonitorLib驱动程序也就是WinRing0x64.sys。

风扇控制项目FanControl开发者称：

你们中的许多人报告MicrosoftDefender开始标记LibreHardwareMonitorLib驱动程序WinRing0x64.sys，你们不需要进一步报告，因为我也知道这种情况。

此内核驱动程序始终存在已知漏洞，理论上可以在受感染的机器上加以利用，驱动程序或软件本身并不是恶意的，安全性也不会因为微软检测而增高或降低，在使用MicrosoftDefender采取任何行动前(例如恢复并添加到白名单)，最好先检查风险。

这些驱动程序最早在2020年就被发现CVE-2020-14979漏洞，利用该漏洞可以读取和写入任意内存位置，这属于缓冲区堆栈溢出类的漏洞，黑客借助此漏洞可以获得WindowsNT系统级权限。

有开发者在issue中表示，这个漏洞早已被知晓，但如果进行修复的话，除了需要大量重写内核驱动程序、应用程序和接口外，还需要购买新的数字签名，这对开源项目开发者来说比较昂贵。

另外知道微软早就意识到这个漏洞并收紧规则，微软此前已经通知各个供应商全面阻止这个驱动程序，最初是准备在2024年彻底禁用的，然后又计划到2025年1月禁用，直到现在微软才实施禁用。

不过根据当前最新情况，微软似乎也意识到禁用这个驱动程序后可能影响不少用户的正常使用，所以微软暂时解除了WinRing0x64.sys的拦截，但后面肯定还会继续拦截。

对调用这个驱动程序的软件开发商来说唯一能做的就是放弃这个驱动程序，例如雷蛇在2月20日推出的安全补丁就删除了这个驱动程序，雷蛇用户需要从Synapse3升级到Synapse4，新版本不再包含这个驱动程序。

查看讨论：https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660