Trong khi Microsoft liên tục cải thiện hệ điều hành Windows với các bản vá lỗi và tính năng mới, đôi khi chúng ta vẫn gặp phải những sự cố không mong muốn. Gần đây, nhiều người dùng đã báo cáo rằng trình bảo vệ tích hợp Microsoft Defender đang cảnh báo một số ứng dụng giám sát phần cứng phổ biến là “malware” và tự động cách ly chúng. Ban đầu, nhiều người cho rằng đây là một lỗi “false positive” (cảnh báo nhầm) từ Windows. Tuy nhiên, thông tin mới nhất cho thấy vấn đề này phức tạp hơn nhiều và không hoàn toàn là một cảnh báo sai.
Nhiều ứng dụng phần cứng phổ biến bị ảnh hưởng bởi cảnh báo
Theo ghi nhận từ Neowin, các ứng dụng giám sát phần cứng và điều khiển quạt từ những nhà cung cấp nổi tiếng như Razer, SteelSeries và một số hãng khác đang bị Microsoft Defender phân loại là phần mềm độc hại, sau đó bị cách ly ngay lập tức. Phần mềm diệt virus này đưa ra cảnh báo về HackTool:Win32/Winring0, ám chỉ đến driver hệ thống WinRing0x64.sys. Đối với những người chưa biết, driver này được nhiều ứng dụng sử dụng để giao tiếp với các thành phần bên trong của máy tính, do đó việc các ứng dụng giám sát phần cứng bị ảnh hưởng là điều dễ hiểu.
Người phụ nữ trầm tư kiểm tra laptop sau cảnh báo malware từ Microsoft Defender
Lỗ hổng bảo mật WinRing0x64.sys: Không phải “false positive”
Mặc dù nhiều người ban đầu cho rằng đây chỉ là một cảnh báo nhầm từ Microsoft Defender, nhà phát triển của ứng dụng FanControl đã chỉ ra trong một bản phát hành trên GitHub rằng driver WinRing0x64.sys này có một lỗ hổng bảo mật đã biết nhưng chưa được vá. Nhật ký thay đổi nêu rõ:
“Nhiều bạn đã báo cáo rằng Defender bắt đầu gắn cờ driver LibreHardwareMonitorLib (WinRing0x64.sys), bạn không cần báo cáo thêm nữa, tôi đã biết về nó. Driver nhân này luôn có một lỗ hổng đã biết về lý thuyết có thể bị khai thác trên một máy bị nhiễm. Driver hoặc chính chương trình không độc hại và không an toàn hơn hay kém hơn trước khi bị gắn cờ. Nên xem xét rủi ro trước khi thực hiện bất kỳ hành động nào với Defender.”
Tương tự, Razer cũng đã tung ra một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã nguồn của ứng dụng Synapse của họ. Thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này dưới dạng CVE-2020-14979 từ tháng 8 năm 2020. Nếu tìm kiếm về lỗ hổng này, bạn sẽ thấy nhiều chủ đề diễn đàn thảo luận về việc các ứng dụng liên quan bị gắn cờ là phần mềm độc hại bởi các phần mềm diệt virus khác, điều này khiến việc Microsoft quyết định hành động bây giờ trở nên thú vị.
Biển báo nguy hiểm xuất hiện trên màn hình laptop, cảnh báo về lỗ hổng bảo mật WinRing0x64.sys
Người dùng cần làm gì? Lựa chọn giữa bảo mật và tính năng
Với tình hình hiện tại, có vẻ như người dùng các phần mềm bị ảnh hưởng nên liên hệ với nhà cung cấp tương ứng để yêu cầu các bản cập nhật loại bỏ sự cần thiết của driver hệ thống này. Nếu điều đó không thể thực hiện được, người dùng sẽ phải lựa chọn giữa việc bỏ qua các cảnh báo từ Microsoft Defender hoặc ngừng sử dụng các ứng dụng bị ảnh hưởng. Việc vá lỗi driver này được cho là một quá trình phức tạp, và nó đã không được khắc phục trong gần 5 năm kể từ khi được theo dõi trên NVD, vì vậy khả năng có một bản sửa lỗi chính thức trong tương lai gần là không cao.
Tóm lại, cảnh báo từ Microsoft Defender về các ứng dụng giám sát phần cứng không phải là một lỗi nhầm hoàn toàn mà xuất phát từ một lỗ hổng bảo mật có thật trong driver WinRing0x64.sys. Người dùng cần cân nhắc kỹ lưỡng giữa nhu cầu sử dụng ứng dụng và rủi ro bảo mật tiềm ẩn. Bạn đã từng gặp phải cảnh báo này chưa? Hãy chia sẻ kinh nghiệm của mình tại phần bình luận bên dưới!
