Lý do Windows xác nhận các ứng dụng ngẫu nhiên là mối đe dọa

Một số chủ sở hữu PC chạy Windows thức dậy vào đầu tuần này và thấy máy tính của họ đột nhiên nhận được thư rác cảnh báo Windows Defender về một "HackTool" mới có tên là WinRing0. Mặc dù những cảnh báo này chắc chắn đáng lo ngại, nhưng khả năng là máy tính của bạn không thực sự bị tấn công - ít nhất là chưa phải lúc này. Nhưng điều đó không có nghĩa là bạn nên bỏ qua các cảnh báo.

Lý do WinRing0 bắt đầu kích hoạt Windows Defender

Vấn đề với các cảnh báo ngẫu nhiên như thế này là không phải lúc nào cũng rõ ràng về mối đe dọa hoặc lý do tại sao Defender coi đó là mối đe dọa. Trong trường hợp của WinRing0, đó là do một khai thác trong phần mềm cấp kernel này trước đây đã được liên kết với một phần mềm độc hại nguy hiểm (như BleepingComputer đã đưa tin).

Về cơ bản, có quyền truy cập cấp kernel có nghĩa là WinRing0 có quyền truy cập vào các thành phần và tài nguyên cốt lõi của hệ điều hành. Đó là một canh bạc nguy hiểm nếu phần mềm có thể bị khai thác bằng cách nào đó và có vẻ như WinRing0 đã trở thành động lực chính thúc đẩy cách thức hoạt động của phần mềm độc hại SteelFox và giành quyền truy cập vào các hệ thống bị nhiễm.

Ngay cả khi bạn đã nỗ lực tăng cường bảo mật cho PC chạy Windows bằng Defender, phần mềm độc hại như SteelFox vẫn có thể sử dụng lỗ hổng được tìm thấy trong WinRing0 để vượt qua các biện pháp bảo vệ của bạn.

Một vấn đề lớn khác với phần mềm như WinRing0 là nó có xu hướng tìm đường vào nhiều phần mềm khác nhau. Đó là trường hợp của cảnh báo Windows Defender mới nhất này, được The Verge đưa tin là một phần của một số ứng dụng kiểm soát quạt PC được sử dụng rộng rãi, bao gồm cả Fan Control, đã được đề cập đến vài năm trước.

Windows Defender dường như cũng kích hoạt cảnh báo nếu bạn đã cài đặt phần mềm giám sát của bên thứ ba khác, bao gồm Libre Hardware Monitor, MSI Afterburner, SteelSeries Engine, Razer Synapse, OmenMon, v.v...

Điều này không có gì đáng ngạc nhiên

Tác động tổng thể của điều này đối với phần mềm giám sát như Afterburner và Fan Control đã rõ ràng. Trừ khi Microsoft đưa ra cách nào đó để các ứng dụng này truy cập vào những quyền cấp thấp đó trong tương lai, nếu không bạn sẽ phải chịu rủi ro bảo mật rất lớn khi cài đặt và sử dụng bất kỳ quyền nào trong số đó.

Tuy nhiên, động thái này không hoàn toàn bất ngờ. Sự cố CrowdStrike nghiêm trọng vào năm ngoái đã gây ra hậu quả khủng khiếp cho nhiều công ty, bao gồm một số doanh nghiệp hướng đến chăm sóc sức khỏe. Kể từ sự cố đó, Microsoft đã phải chịu rất nhiều áp lực để đóng các lỗ hổng bảo mật không nên tồn tại, như lỗ hổng mà WinRing0 sử dụng để truy cập những quyền cấp độ kernel.

Không rõ tại sao Microsoft lại mất nhiều thời gian như vậy để giải quyết WinRing0. Tuy nhiên, điều này không có nghĩa là các phần mềm sử dụng nó hoàn toàn vô dụng. Bạn vẫn có thể sử dụng chúng nếu muốn. Tuy nhiên, bạn rất có thể sẽ khiến hệ thống của mình gặp rủi ro khi làm như vậy.

Thật không may, có một giải pháp, nhưng khả năng thành công là rất thấp. Theo các bình luận trên GitHub, lỗ hổng được tìm thấy trong WinRing0 đã được vá. Tuy nhiên, việc được Microsoft chấp thuận và ký vào phiên bản đó là không có khả năng, vì cộng đồng nguồn mở đứng sau nó không tin rằng họ có đủ khả năng để Microsoft ký vào phiên bản mới nhất. Và nếu không có chữ ký của Microsoft, bạn sẽ không thể cài đặt nó trên hệ thống Windows của mình.

Giải pháp thay thế duy nhất khác là mỗi nhà phát triển ứng dụng này tạo phần mềm riêng của họ để truy cập vào các quyền cấp độ kernel. Nhưng đó là một nỗ lực tốn kém mà nhiều người trong số họ không đủ khả năng chi trả. Ngay cả khi họ làm vậy, thì có khả năng sẽ dẫn đến việc người dùng phần mềm của họ phải chịu thêm chi phí thông qua việc mua phần mềm.

Nếu bạn sử dụng bất kỳ phần mềm giám sát nào được đề cập ở trên hoặc nếu nhận thấy Windows Defender cảnh báo bạn về WinRing0 trên hệ thống, thì có lẽ hiện tại không có gì đáng lo ngại. Tuy nhiên, tốt hơn hết là cẩn tắc vô áy náy, đặc biệt là khi nói đến phần mềm có quyền truy cập cấp độ kernel như thế này.