Hệ điều hành Windows nổi tiếng với sự phức tạp và đôi khi xuất hiện những lỗi khó chịu sau các bản cập nhật, từ việc máy in hoạt động không ổn định đến các vấn đề liên quan đến phần mềm. Mới đây, nhiều người dùng đã báo cáo về một hiện tượng đáng lo ngại: Microsoft Defender, công cụ bảo mật tích hợp sẵn của Windows, đang gắn cờ nhầm một số ứng dụng giám sát phần cứng vô hại thành phần mềm độc hại. Ban đầu, nhiều người cho rằng đây là một lỗi “dương tính giả” từ Windows, nhưng hóa ra, nguyên nhân lại phức tạp hơn thế. Cảnh báo này liên quan trực tiếp đến một lỗ hổng bảo mật đã biết tồn tại trong một driver hệ thống cũ.
Nhiều ứng dụng giám sát phần cứng phổ biến bị ảnh hưởng
Người dùng lo lắng khi ứng dụng giám sát phần cứng bị Microsoft Defender cảnh báo HackTool:Win32/Winring0
Theo báo cáo từ Neowin, một loạt các ứng dụng giám sát phần cứng và điều khiển quạt từ các nhà cung cấp nổi tiếng như Razer, SteelSeries và nhiều hãng khác đang bị Microsoft Defender phân loại là malware và bị cách ly ngay lập tức. Phần mềm diệt virus này đưa ra cảnh báo về HackTool:Win32/Winring0, chỉ đích danh driver hệ thống WinRing0x64.sys. Đối với những người chưa biết, driver này được các ứng dụng sử dụng để giao tiếp với các thành phần bên trong của máy tính. Do đó, việc các ứng dụng giám sát phần cứng bị ảnh hưởng nhiều nhất bởi cảnh báo này là điều dễ hiểu.
Cảnh báo HackTool:Win32/Winring0: Không hẳn là “dương tính giả”
Cảnh báo nguy hiểm trên màn hình laptop liên quan đến lỗ hổng WinRing0x64.sys
Mặc dù nhiều người ban đầu cho rằng đây là một “dương tính giả” (false positive) do Microsoft Defender báo cáo sai, nhà phát triển của ứng dụng FanControl đã lưu ý trong một thông báo trên GitHub rằng driver WinRing0x64.sys này có một lỗ hổng bảo mật đã biết và chưa được vá. Nhật ký thay đổi nêu rõ:
“Nhiều bạn đã báo cáo rằng Defender bắt đầu gắn cờ driver LibreHardwareMonitorLib (WinRing0x64.sys), bạn không cần báo cáo thêm, tôi đã biết về nó. Driver kernel này luôn có một lỗ hổng đã biết có thể bị khai thác về mặt lý thuyết trên một máy bị nhiễm. Driver hoặc chính chương trình không độc hại và không an toàn hơn hay kém an toàn hơn trước khi bị gắn cờ. Việc xem xét rủi ro trước khi thực hiện bất kỳ hành động nào với Defender là một thông lệ tốt.”
Tương tự, Razer cũng đã phát hành một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã Synapse của họ. Thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này dưới mã định danh CVE-2020-14979 từ tháng 8 năm 2020. Nếu bạn tìm kiếm lỗ hổng này, bạn sẽ thấy nhiều diễn đàn thảo luận về việc khai thác này và các ứng dụng liên quan bị phần mềm diệt virus khác gắn cờ là malware. Vì vậy, việc Microsoft quyết định hành động vào thời điểm hiện tại là khá thú vị.
Tóm lại, cảnh báo HackTool:Win32/Winring0 từ Microsoft Defender không phải là một lỗi ngẫu nhiên mà là do một lỗ hổng bảo mật đã tồn tại trong driver WinRing0x64.sys được nhiều ứng dụng giám sát phần cứng sử dụng. Mặc dù bản thân các ứng dụng này không phải là malware, lỗ hổng trong driver tạo ra một rủi ro tiềm ẩn cho hệ thống của bạn.
Đối với người dùng của các phần mềm bị ảnh hưởng, bạn nên liên hệ với nhà cung cấp phần mềm tương ứng để tìm hiểu về các bản cập nhật loại bỏ nhu cầu sử dụng driver hệ thống này. Nếu không có giải pháp cập nhật, người dùng sẽ phải đứng trước lựa chọn: chấp nhận bỏ qua cảnh báo của Microsoft Defender để tiếp tục sử dụng ứng dụng, hoặc ngưng sử dụng các ứng dụng bị ảnh hưởng để đảm bảo an toàn tối đa. Việc vá lỗi driver này được cho là một quy trình phức tạp, và khi nó đã tồn tại gần 5 năm mà chưa có bản sửa lỗi chính thức, khả năng nhận được một bản vá từ nhà cung cấp driver trong tương lai gần là không cao.
Bạn đã từng gặp phải cảnh báo này chưa? Hãy chia sẻ trải nghiệm và cách bạn xử lý vấn đề trong phần bình luận bên dưới nhé!