Vài ngày trước, chúng ta đã ghi nhận trường hợp cập nhật Windows gây ra lỗi khiến máy in hoạt động bất thường. Những lỗi kiểu này không phải là hiếm trên Windows, điều này dễ hiểu khi đây là một hệ điều hành đồ sộ với hàng thập kỷ mã nguồn đang chạy trên hơn một tỷ thiết bị. Gần đây, nhiều người dùng cũng phản ánh rằng hệ điều hành này đang cảnh báo nhầm một số ứng dụng giám sát phần cứng vô hại là phần mềm độc hại. Mặc dù ban đầu nhiều người cho rằng đây là một lỗi từ Windows, nhưng dường như sự thật không phải như vậy.
Nhiều Ứng Dụng Phổ Biến Bị Ảnh Hưởng
Người phụ nữ trầm tư nhìn màn hình laptop khi thấy cảnh báo virus
Theo ghi nhận từ Neowin, một số ứng dụng giám sát phần cứng và điều khiển quạt từ các nhà cung cấp lớn như Razer, SteelSeries và nhiều hãng khác đang bị Microsoft Defender phân loại là phần mềm độc hại và ngay lập tức bị cách ly. Phần mềm chống vi-rút này cảnh báo người dùng về HackTool:Win32/Winring0, ám chỉ đến driver hệ thống WinRing0x64.sys. Đối với những ai chưa biết, driver này được các ứng dụng sử dụng để giao tiếp với nhiều thành phần nội bộ của hệ thống, vì vậy việc các ứng dụng giám sát phần cứng bị ảnh hưởng nhiều nhất bởi cảnh báo này là điều dễ hiểu.
Không Phải Lỗi Dương Tính Giả: Lỗ Hổng Đã Biết
Biển báo nguy hiểm trên màn hình laptop, tượng trưng cho cảnh báo bảo mật
Trong khi nhiều người cho rằng đây có thể là một lỗi dương tính giả (false positive) do Microsoft Defender báo cáo, nhà phát triển ứng dụng FanControl đã lưu ý trong một bản phát hành trên GitHub rằng driver này có một lỗ hổng đã biết nhưng chưa được vá. Nhật ký thay đổi nêu rõ:
“Nhiều bạn đã báo cáo rằng Defender bắt đầu gắn cờ driver LibreHardwareMonitorLib (WinRing0x64.sys), bạn không cần báo cáo thêm nữa, tôi đã biết về nó. Driver nhân này luôn có một lỗ hổng đã biết có thể bị khai thác về mặt lý thuyết trên một máy bị nhiễm. Driver hoặc chính chương trình không độc hại và không an toàn hơn hay kém an toàn hơn so với trước khi bị gắn cờ. Nên xem xét kỹ rủi ro trước khi thực hiện bất kỳ hành động nào với Defender.”
Tương tự, Razer cũng đã tung ra một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã nguồn của ứng dụng Synapse. Thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này dưới mã CVE-2020-14979 từ tháng 8 năm 2020. Nếu bạn tìm kiếm lỗ hổng này, bạn sẽ thấy nhiều chủ đề diễn đàn thảo luận về việc khai thác và các ứng dụng liên quan bị các phần mềm chống vi-rút khác gắn cờ là mã độc. Vì vậy, việc Microsoft quyết định hành động vào thời điểm hiện tại khá đáng chú ý.
Lựa Chọn Cho Người Dùng và Hướng Đi Tương Lai
Hiện tại, có vẻ như người dùng các phần mềm bị ảnh hưởng nên liên hệ với các nhà cung cấp tương ứng để yêu cầu họ phát hành các bản cập nhật loại bỏ việc sử dụng driver hệ thống này. Nếu điều đó không khả thi, người dùng sẽ phải lựa chọn giữa việc bỏ qua các cảnh báo từ Microsoft Defender hoặc không sử dụng các ứng dụng bị ảnh hưởng nữa. Nhận thấy việc vá lỗi driver này dường như là một quá trình phức tạp và nó đã không được khắc phục trong gần 5 năm kể từ khi được theo dõi trên NVD, khả năng chúng ta sẽ nhận được một bản sửa lỗi chính thức trong tương lai là rất thấp.
Bạn nghĩ sao về vấn đề này? Hãy chia sẻ ý kiến của bạn về các ứng dụng giám sát phần cứng và kinh nghiệm đối phó với cảnh báo của Microsoft Defender trong phần bình luận bên dưới!
Tài liệu tham khảo:
- Neowin:
https://www.neowin.net/news/windows-1110-is-flagging-winring0-on-your-pc-monitoring-fan-control-apps-heres-why/ - GitHub (FanControl):
https://github.com/Rem0o/FanControl.Releases/releases/tag/V217 - Razer Insider:
https://insider.razer.com/general-discussion-6/hack-tool-win32-winring0-razer-synapse-74634?postid=249278#post249278 - NVD (CVE-2020-14979):
https://nvd.nist.gov/vuln/detail/cve-2020-14979
