Nếu Windows Defender gắn cờ ‘WinRing0’ trên PC chơi game của bạn, hãy chú ý

Nếu Microsoft Defender đã bắt đầu đưa ra cảnh báo trên PC chơi game của bạn về trình điều khiển dễ bị tấn công “Winring0, thì bạn có một lựa chọn chính cần thực hiện: bạn có thể đặt một ngoại lệ và miễn trừ các ứng dụng điều khiển quạt và RGB phổ biến, nhưng bạn sẽ gặp rủi ro phần mềm độc hại khai thác nó để tấn công PC của bạn.

Như được xác định bởi Microsoft, Defender có thể đưa ra cảnh báo xác định rằng “VulnerableDriver:WinNT/Winring0” đã được phát hiện trên PC của bạn. Và đó là mối lo ngại chính đáng vì nó liên quan đến a được biết đến dễ bị tổn thương trong hai trình điều khiển, WinRing0.sys và WinRing0x64.sys, được ghi lại bởi NIST, một phần của Hoa Kỳ. Bộ Thương mại.

Vấn đề là những trình điều khiển đó là nền tảng cho rất nhiều ứng dụng của bên thứ ba tận dụng trình điều khiển để điều khiển các chức năng như tốc độ quạt và ánh sáng RGB, “bao gồm các công cụ như CapFrameX, EVGA Precision X1 (phiên bản cũ hơn), FanCtrl, HWiNFO, Libre Hardware Monitor, MSI Afterburner, Open Hardware Monitor, OpenRGB, OmenMon, Panorama9, Razer Synapse, SteelSeries Engine, ZenTimings và các công cụ khác,” Microsoft cho biết. Chúng là những công cụ và tiện ích được sử dụng bởi các game thủ cũng như những người đam mê và tất cả chúng đều có cùng một lỗ hổng.

Một đại diện cho Razer nói rằng trích dẫn của Microsoft là một sai lầm. ““Những người dùng đang sử dụng Razer's Synapse 4 hoặc phần mềm Synapse 3 mới nhất không bị ảnh hưởng bởi sự cố này,” anh viết trong email. “Chúng tôi đã triển khai bản vá bảo mật vào ngày 20 tháng 2 năm 2025 để xóa các trình điều khiển này. Synapse 4 không sử dụng các driver này. Chúng tôi khuyến khích bất kỳ ai gặp phải vấn đề này hãy kiểm tra xem họ có đang sử dụng phiên bản mới nhất của Synapse 3 hay nâng cấp lên Synapse 4 để có tính năng và bảo vệ nâng cao nhất.”

Như Gamers Nexus đã chỉ ra trong một video chuyên sâu về chủ đề này, thư viện WinRing0.sys đã được viết từ lâu. Năm 2010, Hiyohiyo (Noriyuki Miyazaki), một nhà phát triển nổi tiếng với CrystalDiskMark, một chuẩn mực quan trọng theo dõi tốc độ đọc và ghi được sử dụng để đánh giá các SSD tốt nhất, đã tạo ra nó. Nhưng khi đến lúc cập nhật, nhà phát triển đã loại bỏ gần như tất cả các chức năng và gọi dự án là một thất bại.

Thật không may, WinRing0.sys vẫn là một điểm vào thuận tiện để truy cập cấp thấp vào chính phần cứng. Nếu không có người bảo trì, nó không thể và không thể được vá. Tuy nhiên, tại thời điểm đó, thư viện dễ bị tấn công đã được tích hợp vào nhiều tiện ích mà Microsoft đã xác định. Trong khi đó, Gamers Nexus đã tìm thấy bằng chứng về phần mềm độc hại đang tích cực sử dụng lỗ hổng này, về cơ bản đánh đồng sự hiện diện của trình điều khiển với sự hiện diện của phần cứng chơi game mạnh mẽ và lén lút tải các công cụ khai thác tiền điện tử lên PC để làm hao mòn tài nguyên của nó.

Tuy nhiên, ngay bây giờ, Microsoft đang chơi cả hai bên.

Trong tài liệu bảo mật của mình, Microsoft tuyên bố rõ ràng rằng cảnh báo “VulnerableDriver:WinNT/Winring0” không phải là sai sót: “Phát hiện này là hợp lệ,” nó nói. (Lưu ý rằng bản thân trình điều khiển không phải là phần mềm độc hại, nhưng nó dễ bị tấn công bởi các ứng dụng phần mềm độc hại khác.)

Tuy nhiên, chỉ một vài dòng xuống, nó cung cấp cho người dùng tùy chọn thêm loại trừ trong Microsoft Defender Antivirus, cho phép người dùng chọn tệp hoặc ứng dụng bị ảnh hưởng và về cơ bản đưa nó vào danh sách trắng trong Defender. Điều đó thật rủi ro. Việc chọn bỏ qua một lỗ hổng đã biết sẽ mở ra cho PC của bạn phần mềm độc hại, nhiều phần mềm trong số đó có thể đang được lưu hành khi vấn đề được đưa ra ánh sáng.

Nếu không có sự tham gia tích cực của Miyazaki, thì tùy thuộc vào chính các nhà phát triển ứng dụng để đưa ra các giải pháp của riêng h. EVGA đã vá các trình điều khiển của họ, chỉ để lại những trình điều khiển cũ hơn, không được dùng nữa dễ bị tấn công. Nhưng các ứng dụng khác vẫn chứa đựng sự thô tục.

Như Wendell Wilson của Level1 Techs đã lưu ý trong video Gamer Nexus, Microsoft đang tích cực phát triển tính năng Dynamic Lighting trong Windows để cho phép chính Windows điều khiển ánh sáng RGB. Về mặt lý thuyết, điều đó có thể dẫn đến một tương lai mà Microsoft bước vào để thay thế chức năng của trình điều khiển WinRing0.sys bằng một cái gì đó cập nhật và an toàn. Nhưng Wilson cũng lưu ý rằng Microsoft vẫn chưa làm điều đó với các điều khiển quạt. Điều đó đặt một ứng dụng như Razer Synapse hoặc MSI Overdrive trở lại vị trí cũ mà nó đã bắt đầu: phụ thuộc vào một đoạn mã dễ bị tấn công.

Có những lựa chọn thay thế, như Diễn đàn Windows lưu ý: “Các nhà cung cấp phần mềm phải thích ứng bằng cách sử dụng khung trình điều khiển an toàn hoặc hoạt động trong không gian người dùng, sử dụng các kỹ thuật như Công cụ quản lý Windows (WMI), Lớp trừu tượng phần cứng (HAL) hoặc các môi trường hộp cát khác,” nó đã viết. “Sự hợp tác giữa ISV và Microsoft là rất quan trọng ở đây.”

Cho đến ngày đó, những người đam mê đang ở một nơi khó khăn: Lăn xúc xắc và tận hưởng tất cả các điều khiển và chức năng mà bạn luôn có hoặc cho phép Defender về cơ bản cách ly các ứng dụng chính điều khiển quạt và ánh sáng PCs’ chơi game của họ. Chúng tôi khuyên bạn nên chơi an toàn, bất kể bạn muốn PC của mình bị lỗi như thế nào.