Trong số hàng tỷ thiết bị đang chạy Windows, không khó hiểu khi đôi lúc hệ điều hành này gặp phải những sự cố khó lường, từ lỗi máy in đến các cảnh báo phần mềm bất thường. Mới đây, nhiều người dùng Windows đã phản ánh về việc phần mềm diệt virus Microsoft Defender bất ngờ gắn cờ một số ứng dụng giám sát phần cứng quen thuộc là phần mềm độc hại. Ban đầu, nhiều người cho rằng đây là một lỗi từ phía Windows. Tuy nhiên, các phân tích chuyên sâu đã chỉ ra rằng nguyên nhân thực sự không phải là một báo động giả, mà liên quan đến một lỗ hổng bảo mật đã tồn tại từ lâu.
Nhiều ứng dụng giám sát phần cứng bị Microsoft Defender “gắn cờ”
Theo ghi nhận từ Neowin, các ứng dụng giám sát phần cứng và điều khiển quạt PC phổ biến từ các nhà cung cấp như Razer, SteelSeries và nhiều hãng khác đang bị Microsoft Defender phân loại là malware và tự động cách ly. Phần mềm antivirus của Microsoft cảnh báo người dùng về HackTool:Win32/Winring0, một tên gọi đề cập đến driver hệ thống WinRing0x64.sys. Đối với những người chưa biết, driver này được các ứng dụng sử dụng để giao tiếp với các thành phần nội bộ của hệ thống, giải thích tại sao các ứng dụng giám sát phần cứng lại bị ảnh hưởng nhiều nhất bởi cảnh báo này.
Người phụ nữ nhìn màn hình laptop đầy lo lắng trước cảnh báo virus hoặc lỗi phần mềm.
Bản chất vấn đề: Không phải báo động giả mà là lỗ hổng bảo mật đã biết
Mặc dù nhiều người ban đầu cho rằng đây có thể là một cảnh báo sai (false positive) từ Microsoft Defender, nhưng nhà phát triển của ứng dụng FanControl đã xác nhận trên một bản phát hành GitHub rằng driver WinRing0x64.sys thực sự có một lỗ hổng đã biết và chưa được vá. Cụ thể, thông tin thay đổi nêu rõ:
“Nhiều bạn đã báo cáo rằng Defender bắt đầu gắn cờ driver LibreHardwareMonitorLib (WinRing0x64.sys), các bạn không cần báo cáo thêm nữa, tôi đã biết về nó. Driver nhân này luôn có một lỗ hổng đã biết có thể bị khai thác về mặt lý thuyết trên một máy tính bị nhiễm. Driver hoặc chính chương trình đó không phải là độc hại và không an toàn hơn hay kém an toàn hơn trước khi nó bị gắn cờ. Tốt nhất là nên xem xét rủi ro trước khi thực hiện bất kỳ hành động nào với Defender.”
Điều này có nghĩa là, driver WinRing0x64.sys, mặc dù không phải là malware, nhưng có một điểm yếu bảo mật có thể bị lợi dụng bởi các phần mềm độc hại khác đã có trên máy tính của người dùng. Tương tự, Razer cũng đã triển khai một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã nguồn của ứng dụng Synapse của họ.
Thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này với mã định danh CVE-2020-14979 từ tháng 8 năm 2020. Nếu tìm kiếm CVE này, bạn sẽ thấy nhiều chủ đề thảo luận trên các diễn đàn về việc các ứng dụng liên quan bị phần mềm antivirus khác gắn cờ là malware, cho thấy đây không phải là vấn đề mới mẻ. Điều thú vị là Microsoft đã quyết định hành động đối với lỗ hổng này vào thời điểm hiện tại.
Biểu tượng cảnh báo nguy hiểm hiển thị trên màn hình máy tính, tượng trưng cho lỗ hổng bảo mật.
Lựa chọn của người dùng và triển vọng giải pháp
Trong bối cảnh hiện tại, người dùng các phần mềm bị ảnh hưởng nên liên hệ với nhà cung cấp tương ứng để yêu cầu các bản cập nhật loại bỏ sự phụ thuộc vào driver hệ thống này. Nếu việc này không khả thi, người dùng sẽ phải đứng trước lựa chọn: hoặc bỏ qua các cảnh báo từ Microsoft Defender (đồng nghĩa với chấp nhận rủi ro tiềm ẩn), hoặc ngừng sử dụng các ứng dụng bị ảnh hưởng.
Với việc vá lỗi driver gốc được cho là một quy trình phức tạp và lỗ hổng này đã tồn tại gần 5 năm mà chưa có bản vá chính thức, có vẻ như một giải pháp toàn diện từ phía nhà phát triển driver là điều khó có thể xảy ra trong tương lai gần.
Kết luận:
Sự việc Microsoft Defender cảnh báo các ứng dụng giám sát phần cứng là “HackTool:Win32/Winring0” không phải là một lỗi của hệ điều hành mà là một hành động của Microsoft nhằm cảnh báo người dùng về lỗ hổng bảo mật đã biết trong driver WinRing0x64.sys. Mặc dù các ứng dụng sử dụng driver này không tự thân là độc hại, lỗ hổng có thể bị khai thác nếu hệ thống đã bị nhiễm malware. Điều này buộc người dùng phải cân nhắc giữa việc duy trì chức năng của ứng dụng và đảm bảo an toàn bảo mật. Để có thông tin cập nhật nhất về các vấn đề công nghệ và giải pháp khắc phục, đừng quên truy cập 123thuthuat.com thường xuyên!
