일부 팬 속도 제어 또는 하드웨어 모니터링 프로그램을 사용하는 경우 Microsoft Defender에서 감지하고 자동으로 격리하는 위협이 발생할 수 있습니다. Microsoft에서 지정한 레이블은 해킹 도구 Winring0(HackTool: Win32/Winring0)입니다.
Microsoft Defender는 종종 오탐지를 생성하지만 흥미로운 점은 이러한 소프트웨어에서 호출되는 WinRing0x64.sys 드라이버에 보안 취약점이 있기 때문에 이번에는 오탐지가 아니라는 것입니다.
WinRing0은 Windows NT의 하드웨어 액세스 라이브러리입니다. 주로 소프트웨어가 I/O 포트, MSR 및 PCI 버스에 액세스하는 데 사용됩니다. 많은 소프트웨어는 WinRing0x64.sys인 오픈 소스 LibreHardwareMonitorLib 드라이버를 사용합니다.
팬 제어 프로젝트 FanControl의 개발자는 다음과 같이 말했습니다.
많은 분들이 Microsoft Defender가 LibreHardwareMonitorLib 드라이버에 WinRing0x64.sys 플래그를 지정하기 시작했다고 보고했습니다. 저도 이 상황을 알고 있으므로 더 이상 보고할 필요가 없습니다.
이 커널 드라이버에는 이론적으로 감염된 시스템에서 악용될 수 있는 알려진 취약점이 항상 존재합니다. 드라이버나 소프트웨어 자체는 악성이 아니며 Microsoft 탐지로 인해 보안이 강화되거나 감소되지 않습니다. Microsoft Defender를 사용하여 작업(예: 복원 및 화이트리스트 추가)을 수행하기 전에 먼저 위험을 확인하는 것이 가장 좋습니다.
CVE-2020-14979 취약점은 이르면 2020년 초에 이러한 드라이버에서 발견되었습니다. 이 취약점은 임의의 메모리 위치를 읽고 쓰는 데 사용될 수 있습니다. 이는 버퍼 스택 오버플로 취약점입니다. 해커는 이 취약점을 이용하여 Windows NT 시스템 수준 권한을 얻을 수 있습니다.
일부 개발자들은 이 취약점이 오랫동안 알려져 있었지만, 이를 수리할 경우 커널 드라이버, 애플리케이션, 인터페이스를 대량으로 다시 작성해야 하는 것 외에도 새로운 디지털 서명을 구입해야 하며 이는 오픈 소스 프로젝트 개발자에게 상대적으로 비용이 많이 든다고 밝혔습니다.
또한 우리는 Microsoft가 오랫동안 이 취약점을 인지하고 규칙을 강화했다는 것을 알고 있습니다. Microsoft는 이전에 다양한 공급업체에 이 드라이버를 완전히 차단하도록 알렸습니다. 당초 2024년에 완전히 금지할 계획이었고 이후 2025년 1월에 금지할 계획이었다. 이제야 마이크로소프트가 금지 조치를 시행했다.
그러나 최근 상황에 따르면 마이크로소프트는 이 드라이버를 비활성화하면 많은 사용자들의 정상적인 사용에 영향을 미칠 수 있다는 점을 인지하고 있는 것으로 보여 마이크로소프트는 일시적으로 WinRing0x64.sys 차단을 해제했지만 앞으로도 계속해서 차단할 예정이다.
이 드라이버를 부르는 소프트웨어 개발자가 할 수 있는 유일한 일은 이 드라이버를 버리는 것입니다. 예를 들어 Razer가 2월 20일에 출시한 보안 패치에서는 이 드라이버가 삭제되었습니다. Razer 사용자는 Synapse3에서 Synapse4로 업그레이드해야 합니다. 새 버전에는 더 이상 이 드라이버가 포함되어 있지 않습니다.
토론 보기: https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660