【小心 ⚠️】外媒報導，近日有許多用戶反映他們的風扇控制或 PC 硬件監控應用程式，被 Microsoft Defender 及其他防毒軟件標記為「HackTool:Win32/Winring0」，偵測到後便會立即被隔離，受影響的包括 EVGA、RAZER、SteelSeries 等品牌的應用程式。

 

WinRing0 是一個硬件存取庫，允許 Windows 應用程式直接訪問 I/O、MSR 及 SMBus 介面，使得這些應用程式能夠進行低層次硬件操作，但同時也帶來了安全風險。

 

據了解，這次大規模集體「炒車」並非誤報，全因它們採用了開源的 LibreHardwareMonitorLib 驅動程式 WinRing0x64.sys，而該驅動程式已知存在漏洞（CVE-2020-14979）。該漏洞可能被利用來讀取和寫入任意記憶體位置，這允許任何用戶透過將 \Device\PhysicalMemory 對應到呼叫程序來獲得 NT AUTHORITY\SYSTEM 權限。

 

據 WinRing0x64.sys 的開發者表示，已經收到許多人報告各大防毒軟件開始標記並隔離 WinRing0x64.sys。該驅動程式一直存在一個已知漏洞，理論上黑客可以在受感染的機器上利用它。

 

不過，驅動程式或應用程式本身並不具有惡意，其安全性並未因被標記而變得更高或更低。各位用戶可以自行考慮是否容許它在你的系統中運作。