Gần đây, cộng đồng người dùng Windows đang xôn xao về việc một số ứng dụng giám sát phần cứng hợp pháp bỗng nhiên bị Microsoft Defender gắn cờ là phần mềm độc hại (malware). Ban đầu, nhiều người cho rằng đây là một lỗi “false positive” (nhận diện sai) từ hệ thống bảo mật của Microsoft. Tuy nhiên, qua phân tích sâu hơn, các chuyên gia công nghệ đã phát hiện ra nguyên nhân thực sự không phải là một lỗi của Windows mà xuất phát từ một lỗ hổng bảo mật đã biết tồn tại trong một driver hệ thống cũ. Điều này đặt ra một vấn đề nan giải cho người dùng, buộc họ phải cân nhắc giữa tính năng và bảo mật.
Nhiều Ứng Dụng Phần Mềm Phổ Biến Bị Ảnh Hưởng
Theo ghi nhận từ Neowin, nhiều ứng dụng kiểm soát quạt và giám sát phần cứng phổ biến từ các nhà cung cấp uy tín như Razer, SteelSeries cùng một số phần mềm khác đang bị Microsoft Defender phân loại là phần mềm độc hại và ngay lập tức bị cách ly. Phần mềm diệt virus của Microsoft cảnh báo người dùng về HackTool:Win32/Winring0, một mối đe dọa liên quan đến driver hệ thống WinRing0x64.sys. Driver này được các ứng dụng sử dụng để giao tiếp với các thành phần bên trong của hệ thống, giải thích tại sao các ứng dụng giám sát phần cứng lại bị ảnh hưởng nhiều nhất bởi cảnh báo này.
Người dùng lo lắng khi ứng dụng giám sát phần cứng bị Microsoft Defender gắn cờ malware.
Thực Chất Đây Không Phải Là Lỗi “False Positive”
Trái ngược với suy nghĩ ban đầu của nhiều người về một cảnh báo sai, nhà phát triển của ứng dụng FanControl đã xác nhận trên GitHub rằng driver WinRing0x64.sys có một lỗ hổng đã được biết đến nhưng chưa được vá. Cụ thể, thông báo nêu rõ: “Driver LibreHardwareMonitorLib (WinRing0x64.sys) luôn có một lỗ hổng đã biết, về lý thuyết có thể bị khai thác trên một máy tính bị nhiễm mã độc. Driver hoặc bản thân chương trình không phải là độc hại và không an toàn hơn hay kém an toàn hơn so với trước khi bị gắn cờ. Người dùng nên xem xét rủi ro trước khi thực hiện bất kỳ hành động nào với Defender.”
Tương tự, Razer cũng đã phát hành một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã nguồn của phần mềm Synapse của họ. Trên thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này dưới mã CVE-2020-14979 từ tháng 8 năm 2020. Nếu tìm kiếm về lỗ hổng này, bạn sẽ thấy nhiều chủ đề thảo luận trên các diễn đàn về việc các ứng dụng liên quan bị phần mềm diệt virus khác gắn cờ là malware, cho thấy Microsoft đã quyết định hành động sau một thời gian dài.
Biểu tượng cảnh báo trên màn hình máy tính cho thấy nguy cơ từ lỗ hổng WinRing0x64.sys.
Hiện tại, người dùng các phần mềm bị ảnh hưởng nên liên hệ với nhà cung cấp tương ứng để yêu cầu cập nhật loại bỏ sự phụ thuộc vào driver hệ thống này. Nếu điều đó không khả thi, người dùng sẽ phải lựa chọn giữa việc bỏ qua cảnh báo từ Microsoft Defender hoặc ngừng sử dụng các ứng dụng bị ảnh hưởng hoàn toàn. Do việc vá driver này được cho là một quy trình phức tạp và nó chưa được khắc phục trong gần 5 năm kể từ khi được NVD theo dõi, khả năng có một bản sửa lỗi chính thức trong tương lai gần là rất thấp.
Kết Luận
Tóm lại, việc Microsoft Defender gắn cờ các ứng dụng giám sát phần cứng phổ biến là malware không phải là một lỗi ngẫu nhiên mà là hệ quả của việc một driver cũ (WinRing0x64.sys) chứa lỗ hổng bảo mật nghiêm trọng (CVE-2020-14979) chưa được vá. Điều này đòi hỏi các nhà phát triển phần mềm phải nhanh chóng cập nhật sản phẩm của mình để đảm bảo an toàn cho người dùng. Đối với bạn đọc, hãy luôn cập nhật thông tin từ các nguồn uy tín và cân nhắc kỹ lưỡng khi nhận được các cảnh báo bảo mật.
Để không bỏ lỡ những phân tích chuyên sâu và tin tức công nghệ nóng hổi, hãy thường xuyên truy cập blogthuthuat.net!
