Trong bối cảnh hệ điều hành Windows thường xuyên gặp phải các vấn đề phát sinh sau mỗi bản cập nhật, từ lỗi máy in đến các sự cố không mong muốn khác, một tình huống mới đây đang gây xôn xao cộng đồng người dùng: Microsoft Defender bất ngờ gắn cờ nhiều ứng dụng giám sát phần cứng phổ biến là phần mềm độc hại. Ban đầu, nhiều người lầm tưởng đây là một lỗi “false positive” (nhận diện nhầm) từ Defender, nhưng những phân tích chuyên sâu đã chỉ ra rằng nguyên nhân thực sự không phải như vậy. Bài viết này sẽ đi sâu làm rõ vấn đề này, cung cấp cái nhìn toàn diện về HackTool:Win32/Winring0 và những gì người dùng cần biết.
Nhiều Ứng Dụng Giám Sát Phần Cứng Phổ Biến Bị Ảnh Hưởng
Theo ghi nhận từ Neowin, một số lượng đáng kể các ứng dụng giám sát phần cứng và kiểm soát quạt tản nhiệt từ các nhà cung cấp uy tín như Razer, SteelSeries và nhiều nhà phát triển khác đang bị Microsoft Defender phân loại là malware và nhanh chóng bị cách ly. Phần mềm diệt virus này đang cảnh báo người dùng về sự hiện diện của HackTool:Win32/Winring0, một thuật ngữ đề cập đến driver hệ thống WinRing0x64.sys. Đối với những người chưa biết, driver này đóng vai trò thiết yếu, cho phép các ứng dụng giao tiếp với các thành phần nội bộ khác nhau của hệ thống. Do đó, việc các ứng dụng giám sát phần cứng bị ảnh hưởng nhiều nhất bởi cảnh báo này là điều hoàn toàn hợp lý.
Người dùng lo lắng khi ứng dụng giám sát phần cứng bị Microsoft Defender cảnh báo malware
Không Phải Là “False Positive”: Lỗ Hổng Đã Biết Từ Lâu
Mặc dù nhiều người dùng tin rằng đây chỉ là một cảnh báo sai lầm từ Microsoft Defender, nhà phát triển của ứng dụng FanControl đã làm rõ trên một bản phát hành GitHub rằng driver WinRing0x64.sys thực sự chứa một lỗ hổng bảo mật đã được biết đến từ lâu và chưa được vá. Changelog của FanControl ghi rõ:
“Nhiều bạn đã báo cáo rằng Defender bắt đầu gắn cờ driver LibreHardwareMonitorLib (WinRing0x64.sys), bạn không cần báo cáo thêm nữa, tôi đã biết về nó. Driver kernel này luôn có một lỗ hổng đã biết có thể bị khai thác về mặt lý thuyết trên một máy bị nhiễm. Driver hoặc bản thân chương trình không độc hại và không an toàn hơn hoặc kém an toàn hơn trước khi nó bị gắn cờ.”
Tương tự, Razer cũng đã phát hành một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã nguồn của ứng dụng Synapse của họ. Trên thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này dưới mã định danh CVE-2020-14979 từ tháng 8 năm 2020. Nếu bạn tìm kiếm lỗ hổng này, bạn sẽ thấy nhiều chủ đề diễn đàn thảo luận về việc các ứng dụng liên quan bị gắn cờ là malware bởi các phần mềm diệt virus khác. Điều thú vị là Microsoft đã quyết định hành động ở thời điểm hiện tại.
Biểu tượng cảnh báo nguy hiểm trên màn hình laptop liên quan đến lỗ hổng bảo mật HackTool:Win32/Winring0
Người Dùng Nên Làm Gì?
Với tình hình hiện tại, người dùng các phần mềm bị ảnh hưởng nên liên hệ với nhà cung cấp tương ứng của họ để yêu cầu các bản cập nhật loại bỏ sự phụ thuộc vào driver hệ thống này. Nếu việc đó không khả thi, có vẻ như người dùng sẽ phải đưa ra lựa chọn khó khăn: hoặc bỏ qua các cảnh báo từ Microsoft Defender và chấp nhận rủi ro tiềm ẩn, hoặc ngừng sử dụng các ứng dụng bị ảnh hưởng hoàn toàn. Với thực tế là việc vá driver này dường như là một quy trình phức tạp và nó đã không được khắc phục trong gần 5 năm kể từ khi được NVD theo dõi, khả năng có một bản sửa lỗi chính thức từ nhà phát triển driver gốc trong tương lai gần là không cao.
Tóm lại, cảnh báo từ Microsoft Defender về HackTool:Win32/Winring0 không phải là một lỗi nhận diện nhầm mà là một phản ứng trước lỗ hổng bảo mật đã tồn tại trong driver WinRing0x64.sys. Việc hiểu rõ nguyên nhân gốc rễ này sẽ giúp người dùng đưa ra quyết định sáng suốt hơn trong việc quản lý các ứng dụng giám sát phần cứng trên máy tính của mình, cân nhắc giữa nhu cầu về chức năng và yêu cầu về an ninh mạng.
