Mới đây, một số người dùng Windows đã phản ánh về việc phần mềm diệt virus Microsoft Defender bất ngờ gắn cờ nhiều ứng dụng theo dõi phần cứng và kiểm soát quạt phổ biến là mã độc. Ban đầu, nhiều người cho rằng đây là một lỗi “false positive” (báo động giả) từ hệ điều hành Windows. Tuy nhiên, qua điều tra sâu hơn, có vẻ như nguyên nhân không phải do lỗi của Windows mà nằm ở một lỗ hổng bảo mật đã tồn tại từ lâu trong một driver hệ thống cũ.
Nhiều Ứng Dụng Theo Dõi Phần Cứng Phổ Biến Bị Ảnh Hưởng
Theo ghi nhận từ Neowin, các ứng dụng từ những nhà cung cấp nổi tiếng như Razer, SteelSeries, cùng với ứng dụng độc lập FanControl, đang bị Microsoft Defender cảnh báo và đưa vào diện kiểm dịch ngay lập tức. Cụ thể, phần mềm antivirus này hiển thị cảnh báo về HackTool:Win32/Winring0, một tham chiếu đến driver hệ thống WinRing0x64.sys. Đây là một driver được các ứng dụng sử dụng để giao tiếp với nhiều thành phần nội bộ của hệ thống, giải thích vì sao các phần mềm theo dõi phần cứng và kiểm soát quạt lại bị ảnh hưởng nhiều nhất.
Người phụ nữ suy tư nhìn màn hình laptop khi Microsoft Defender báo lỗi ứng dụng theo dõi phần cứng
Lỗ Hổng Bảo Mật Của Driver WinRing0x64.sys Mới Là Nguyên Nhân
Trái với suy nghĩ ban đầu rằng đây là một báo động giả, nhà phát triển của ứng dụng FanControl đã xác nhận trên GitHub rằng driver WinRing0x64.sys thực sự có một lỗ hổng bảo mật đã được biết đến từ trước nhưng chưa được vá. Mặc dù bản thân driver hay chương trình sử dụng nó không độc hại, lỗ hổng này về lý thuyết có thể bị khai thác trên một máy tính đã bị nhiễm mã độc khác. Lỗ hổng này đã được theo dõi trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD) dưới mã CVE-2020-14979 từ tháng 8 năm 2020. Đáng chú ý, Razer cũng đã phát hành một bản vá cho phần mềm Synapse của họ vào cuối tháng 2 để loại bỏ việc sử dụng driver này.
Biểu tượng cảnh báo nguy hiểm trên màn hình laptop biểu thị lỗ hổng bảo mật driver
Với tình hình hiện tại, người dùng các phần mềm bị ảnh hưởng sẽ phải đưa ra lựa chọn khó khăn: hoặc chấp nhận bỏ qua cảnh báo từ Microsoft Defender và tiếp tục sử dụng ứng dụng, hoặc ngừng sử dụng chúng để đảm bảo an toàn tuyệt đối. Do quá trình vá driver này được cho là phức tạp và lỗ hổng đã tồn tại gần 5 năm mà chưa có bản sửa lỗi chính thức, có vẻ như việc một bản vá toàn diện sẽ không sớm xuất hiện.
Tóm lại, cảnh báo từ Microsoft Defender không phải là một lỗi, mà là phản ứng của hệ thống trước một lỗ hổng bảo mật thực sự trong driver WinRing0x64.sys. Người dùng nên liên hệ với nhà cung cấp phần mềm để kiểm tra các bản cập nhật loại bỏ driver này hoặc cân nhắc rủi ro khi tiếp tục sử dụng. Bạn đã từng gặp phải cảnh báo “HackTool:Win32/Winring0” này chưa? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới!
