Salı sabahı, bazı PC oyuncuları bilgisayarlarının tehdit altında olduğunu keşfetmek için uyandı. Winring0 adı verilen bir “hacktool” aniden PC’leri saldırı altındaymış gibi bir Windows Defender uyarısını tetiklemeye başlamıştı. Bu bilgisayarlardan bazıları, hacktool karantinaya alındıktan sonra tuhaf bir şekilde – hayranlarını yüksek hızda patlatmak gibi – davranmaya başladı. Biliyorum, çünkü başıma geldi.
Ama bilgisayarım aslında saldırı altında değildi – en azından henüz değil.
Windows Defender’ın tehdidi gerçekten tespit ettiğini kontrol ettiğimde, Fan kontrolü PC’imi akıllıca soğutmak için kullanıyorum. Windows Defender onu kırmıştı ve bu yüzden hayranlarım koşuyordu. Diğerleri için tehdit, Razer Synapse, Steelseries Engine, OpenRGB, Libre Donanım Monitörü, Capframex, MSI Afterburner, Omenmon, Fanckl, Zentimings ve Panorama9’da tespit edildi.
Fan kontrol geliştiricisi Rémi Mercier, “Şu an itibariyle tüm üçüncü taraf / açık kaynak donanım izleme yazılımları vidalandı” diyor.
Bunun nedeni, tüm bu programların ortak bir yönü var, geliştiricilerin sekizi anlatıyor Eşek. Hepsi gerçekten Winring0 olarak adlandırılan bir çekirdek seviyesi yazılım içerir (veya yaptılar). Ve winring0 yapabilir gerçekten bir tehdit ol Bugün itibariyle bile Bazı oldukça kötü gerçek dünya kötü amaçlı yazılımlarla bağlantılı Bu teorik olarak bilgisayarınızı kaçırabilir.
Ama yine de, bu özel kullanışlı uygulamalara sahip bilgisayarlarda olan bu değil – bir kaçırma devam ediyor. Daha ziyade, Winring0 işaretleniyor çünkü bu izleme yazılımı parçalarının PC’nin hayranlarımın ne kadar hızlı döndüğünü ve diğer okumaların yanı sıra LED ışıklarının renklerini anlatması güvensiz bir yol. Ve yine de, Winring0 yaygındır, birkaç geliştirici bana söylüyor, çünkü Microsoft ve PC endüstrisi Windows işletim sisteminin içinden bu donanıma dokunmalarının tek yollarından biri.
OpenRGB geliştiricisi Adam Honse, “Bildiğim, LED’leri kontrol edebilmemiz gereken SMBUS kayıtlarına erişebilen sadece serbestçe kullanılabilir iki Windows sürücüleri var: Inpout32 ve Winring0,” diyor OpenRGB geliştiricisi Adam Honse. “INPOUT32’yi kullanıyorduk, ama Riot’un Vanguard karşıtı anti-zinciriyle çelişiyordu, bu yüzden çatışmadığı için Winring0’e geçtik.”
Honse ve diğerleri, Winring0’in istismar edilebileceğini özgürce itiraf ediyorlar. “Bu bir gizli güvenlik açığı değil. Kelimenin tam anlamıyla, kullanıcı alanları uygulamalarına yalnızca çekirdek sürücülerinin normalde erişebileceği bir şeye erişim sağlamayı amaçlayan bir kütüphane ”diyor.
Ne de Microsoft’un bu potansiyel boşluğu kapatma girişimini de şaşırtmıyor. Geçen yıl bir Buggy güncellemesi ile 8,5 milyon cihazı deviren Crowdstrike kesintisinden sonra Microsoft, düşük seviyeli donanıma özel erişimi olan yazılımı kısıtlamak için baskı altında, bu yüzden böyle bir şey tekrar olamaz. Microsoft neden sadece Winring0’e hitap etmek için etrafta dolaştığını söylemedi, ancak Yavaş yavaş elden geçirme Sürücü gereksinimleri yıllık güncellemelerde ve şirketin hareket halindeyken güvenlik açıklarını kara listeye alması oldukça rutindir.
Gerçek şu ki, bu savunmasız winring0, her türlü yazılıma girdi çünkü bu bir kullanışlı Loophole ve birkaç geliştirici şimdi sıkışıp kaldıklarını söylüyor çünkü Microsoft bunu düzeltmek için çok fazla ücret alacak. Hatta bazıları Windows Defender’ın algılamasını “yanlış pozitif” olarak adlandırıyor, ancak Winring0’i kullanmanın güvenli olması gerektiğini ima ediyor, çünkü kendi uygulamaları kötü niyetli değil ve onları çalıştırmanın maliyet etkin bir yolu yok.
SignalRGB’nin kurucusu Timothy Sun, güvenlik riskinin bundan daha karmaşık olduğunu söylüyor. “WinRing0 sistem çapında yüklediğinden, bir kullanıcının sistemine ilk yüklendiğine bağlı olduğumuzu fark ettik. Bu, diğer uygulamaların potansiyel olarak savunmasız sürümler kurup kurmadığını doğrulamayı son derece zorlaştırdı ve kullanıcılarımızı en iyi çabalarımıza rağmen etkili bir şekilde riske attı ”diyor.
Bu yüzden şirketi kendi RGB arayüzüne yatırım yaptı ve sonunda 2023’te Winring0’i tescilli bir SMBUS sürücüsü lehine terk etti. Ancak Sun da dahil olmak üzere konuştuğum geliştiriciler bunun pahalı bir teklif olduğunu kabul ediyor.
Sun, “Şeker tutmayacağım – geliştirme süreci zorlayıcıydı ve önemli mühendislik kaynakları gerektirdi” diyor. OpenRGB’nin Honse, “Küçük açık kaynaklı projeler, bu rotaya gitme konusunda finansal yeteneğe sahip değil, ne de bunu yapmak için Microsoft çekirdek geliştirme deneyimine sahip değil” diyor.
Ancak daha basit bir alternatif olabilir: Neden Winring0’in kendisinde güvenlik açığını düzeltmiyorsunuz? Şaşırtıcı bir şekilde, üç geliştirici bana Winring0’in zaten yamalıancak açık kaynak topluluğu, Microsoft tarafından imzalanmış yeni bir sürüm alabileceklerine inanmıyor – ve Microsoft’un dijital imzası olmadan Windows, kullanıcıların başlayacak şekilde yüklemesine izin vermiyor.
Winring0 “kaynağı açık ve imzalanmış olduğu için ‘nazik bir sürücüsü’ idi,” diye açıklıyor Mercier. “İşletmeler açık kaynaklı çekirdek sürücüleri geliştirmediğinden, bunun gibi başka bir şey yok.”
Popüler Libre donanım monitörünün geliştiricisi PhyxionNl’e göre, birçok izleme uygulamasını (fan kontrolü dahil) destekleyen WinRing0 geri tarih Windows’un Microsoft’un bu tür sürücüleri imzalamasını gerektirmediği bir zamana; yazarı Noriyuki Miyazaki (ayrıca bkz: Crystaldiskmark) görünüşe göre kendisi imzaladı.
Ancak yeni bir kopya imzalamak için geliştiricilerin Microsoft’un onayına ihtiyacı olacak ve ödeme yapmaları gerekecekti.
Kar amacı gütmeyen hobi talep etmek mümkün değildir [free open source software] Kâr amacı gütmeyen şirketlerle sürücü imzası için aynı maliyetleri ödeyecek projeler. Ayrıca sürücü imzalamasının sürekli yenilenmeye ihtiyaç duyan sınırlı süreli bir şey olduğu anlaşılıyor, bu yüzden tekrarlayan bir maliyet olacaktır. Ayrıca, ön aramadan, çekirdek imzalama sertifikası alabilmeniz için bir şirket olmanız gerekir. Microsoft güverteyi bize karşı istifledi.
Omenmon’un Piotr Szczepanski, tüm uygulamanızı Microsoft’a ve Virustotal’a muayene için göndermenin yeterince iyi olmadığını söylüyor, “Omenmon’un her seferinde beyaz listeye alınmasına rağmen, sonunda aynı yürütülebilir, tanım versiyonları güncellenir ve imzalar temizlenir.
“Microsoft güverteyi bize karşı istifledi.”
Szczepanski, Zentimings ‘Ivan Rusanov ve Fan Control’s Mercier, Winring0 gibi işlev gören yeni imzalı bir sürücünün yokluğunda gerçekten yapabilecekleri hiçbir şey olmadığını söylüyor. Rusanov, “Mevcut olduğu an kesinlikle başka bir şeyle değiştireceğim, ancak şimdilik, kullanıcılara bunu görmezden gelmelerini ve savunmacıya bir istisna eklemelerini tavsiye edemem” diyor.
Ama biraz umut var. Hyte Nexus izleme yazılımı da Winring0 kullanan ve Windows Defender tarafından işaretlenen önceden yapılandırılmış oyun PC üreticisi IbUpower Eşek Güncellenmiş bir Winring0 imzalı olmaya çalışacak ve sonuçları geliştiricilere geri verecek.
Hyte ürün direktörü Robert Teller bize, “Bu çözüm çalışıyorsa, kütüphanenin güncellenmiş ve imzalı sürümümüzü paylaşacağız, böylece geliştiriciler topluluğu uygulamalarının yeni sürümlerini doğrulanmış Microsoft sürücüleriyle dağıtabilir” diyor.
Teller, Microsoft’un cevabını beklediğini söylüyor. Microsoft’un herhangi bir yorumu yoktu Eşek.
SignalRgb’nin Sun’a tescilli SMBUS sürücüsünü paylaşıp paylaşamayacağını sordum, ancak hayır, “Bu çözümü özellikle ihtiyaçlarımız ve kullanıcı tabanımız için geliştirmek için önemli kaynaklar yatırdık” dedi.
Razer ve Steelseries kullanıcılarına gelince, her iki şirket bana son zamanlarda terk ettiklerini söylediğinden, Winring0’den kaçınmak için yazılımınızı en son sürüme güncellemek isteyebilirsiniz. Ancak sonuç olarak bazı işlevleri kaybedebileceğinizi bilin. Bazı çok eski Razer donanımı hala Synapse 2 gerektirir ve Steelseries var sistem monitör uygulamasını tamamen kaldırdım Güvenlik açığını ele almak için, yani oyuncular artık çevre birimlerinin ekranlarında sistem verilerini göremiyorlar.
Razer Software VP Quyen Quach, Synapse 4’ün Winring0’i hiç kullanmadığını ve şirketin Synapse 3’ü sadece üç hafta önce kaldırmak için yamaladığını söylüyor.
