Gần đây, nhiều người dùng Windows đã bắt đầu báo cáo một vấn đề đáng lo ngại: các ứng dụng theo dõi phần cứng và điều khiển quạt phổ biến, vốn được tin dùng, bất ngờ bị Microsoft Defender gắn cờ là phần mềm độc hại. Sự cố này gây ra không ít hoang mang, đặc biệt khi các phần mềm này được đánh giá là vô hại. Ban đầu, nhiều người cho rằng đây là một lỗi từ Windows, nhưng qua tìm hiểu sâu hơn, nguyên nhân thực sự lại phức tạp hơn và liên quan đến một lỗ hổng bảo mật đã tồn tại từ lâu.
Hàng loạt ứng dụng theo dõi phần cứng phổ biến bị ảnh hưởng
Theo ghi nhận từ Neowin, Microsoft Defender đang liên tục cảnh báo và cách ly các ứng dụng giám sát phần cứng và điều khiển quạt từ các nhà cung cấp lớn như Razer, SteelSeries và nhiều phần mềm khác. Lời cảnh báo cụ thể mà người dùng nhận được là về “HackTool:Win32/Winring0”, đề cập đến driver hệ thống WinRing0x64.sys. Driver này đóng vai trò quan trọng, cho phép các ứng dụng giao tiếp với các thành phần nội bộ của hệ thống, điều này giải thích tại sao các phần mềm theo dõi phần cứng lại là đối tượng bị ảnh hưởng nhiều nhất bởi cảnh báo này.
Người phụ nữ trầm tư nhìn màn hình laptop khi ứng dụng theo dõi phần cứng bị gắn cờ malware
Không phải cảnh báo “nhầm”: Lỗ hổng WinRing0x64.sys từ lâu
Ban đầu, nhiều người dùng PC cho rằng đây là một “dương tính giả” (false positive) từ Microsoft Defender. Tuy nhiên, nhà phát triển của ứng dụng FanControl đã làm rõ trên GitHub rằng driver WinRing0x64.sys thực sự có một lỗ hổng đã được biết đến nhưng chưa được vá. Theo mô tả, lỗ hổng này “có thể bị khai thác về mặt lý thuyết trên một máy tính đã bị nhiễm”. Dù bản thân driver hay chương trình không độc hại và không kém an toàn hơn trước khi bị gắn cờ, nhưng việc tồn tại lỗ hổng khiến nó trở thành điểm yếu tiềm tàng.
Lỗ hổng này đã được Cơ sở dữ liệu lỗ hổng quốc gia (NVD) theo dõi dưới mã CVE-2020-14979 từ tháng 8 năm 2020. Razer cũng đã nhanh chóng triển khai bản vá vào cuối tháng 2 vừa qua để loại bỏ việc sử dụng driver này trong mã nguồn của ứng dụng Razer Synapse. Việc Microsoft Defender bắt đầu hành động vào thời điểm này, sau gần 5 năm lỗ hổng được công bố, cho thấy hãng đang tăng cường các biện pháp bảo mật hoặc đã có những phát hiện mới liên quan đến việc khai thác lỗ hổng này.
Biển báo nguy hiểm trên màn hình laptop cảnh báo về lỗ hổng bảo mật phần mềm
Lựa chọn khó khăn: Bảo mật hay chức năng?
Với tình hình hiện tại, người dùng các phần mềm bị ảnh hưởng đang đứng trước một lựa chọn khó khăn: phớt lờ cảnh báo từ Microsoft Defender và tiếp tục sử dụng ứng dụng, chấp nhận rủi ro tiềm tàng từ lỗ hổng bảo mật, hoặc ngừng sử dụng các ứng dụng đó để đảm bảo an toàn tuyệt đối cho hệ thống.
Giải pháp lâu dài nhất là các nhà cung cấp phần mềm phải phát hành bản cập nhật loại bỏ sự phụ thuộc vào driver WinRing0x64.sys hoặc vá lỗ hổng này một cách triệt để. Tuy nhiên, theo The Verge, quá trình vá lỗi driver này được cho là khá phức tạp, và thực tế là nó đã không được khắc phục trong gần 5 năm qua. Do đó, khả năng có một bản sửa lỗi chính thức từ nhà phát triển driver trong tương lai gần có vẻ không cao. Người dùng nên liên hệ trực tiếp với nhà cung cấp phần mềm của mình để yêu cầu cập nhật và theo dõi thông tin mới nhất.
Kết luận
Vấn đề Microsoft Defender cảnh báo malware đối với các ứng dụng theo dõi phần cứng phổ biến không phải là một lỗi ngẫu nhiên, mà là hệ quả của một lỗ hổng bảo mật đã tồn tại trong driver WinRing0x64.sys. Điều này đặt ra thách thức cho người dùng trong việc cân bằng giữa nhu cầu theo dõi hiệu năng hệ thống và bảo mật thông tin. Trong khi chờ đợi các bản cập nhật từ nhà phát triển, người dùng cần thận trọng và đưa ra quyết định phù hợp với mức độ rủi ro chấp nhận được của mình.
Bạn đã từng gặp phải cảnh báo này chưa? Hãy chia sẻ trải nghiệm và giải pháp của bạn trong phần bình luận bên dưới!
Nguồn tham khảo: Neowin, GitHub (Rem0o), NVD, Razer Insider, The Verge
