Gần đây, cộng đồng người dùng Windows đang xôn xao về việc hệ điều hành này liên tục gắn cờ một số ứng dụng giám sát phần cứng vô hại là phần mềm độc hại. Ban đầu, nhiều người cho rằng đây chỉ là một lỗi giả (false positive) từ Microsoft Defender, tương tự như các sự cố phần mềm không mong muốn khác trên Windows. Tuy nhiên, qua tìm hiểu sâu hơn, vấn đề này lại không đơn thuần là một lỗi hệ thống mà có nguyên nhân phức tạp hơn nhiều.
Nhiều Ứng Dụng Giám Sát Phần Cứng Phổ Biến Bị Ảnh Hưởng
Theo ghi nhận từ Neowin, nhiều ứng dụng theo dõi phần cứng và kiểm soát quạt từ các nhà cung cấp nổi tiếng như Razer, SteelSeries và các thương hiệu khác đang bị Microsoft Defender phân loại là malware và bị cách ly ngay lập tức. Phần mềm diệt virus này đưa ra cảnh báo về HackTool:Win32/Winring0, ám chỉ driver hệ thống WinRing0x64.sys. Đối với những ai chưa biết, driver này được các ứng dụng sử dụng để giao tiếp với các thành phần nội bộ của hệ thống, giải thích lý do tại sao các ứng dụng giám sát phần cứng lại bị ảnh hưởng nhiều nhất bởi cảnh báo này.
Người phụ nữ lo lắng nhìn màn hình laptop hiển thị cảnh báo từ Microsoft Defender về HackTool:Win32/Winring0, biểu thị sự bất an khi phần mềm giám sát phần cứng bị gắn cờ.
Thực Tế Không Phải Là Lỗi Giả (False Positive)
Mặc dù nhiều người nghĩ đây có thể là một lỗi giả được báo cáo bởi Microsoft Defender, nhưng nhà phát triển của ứng dụng FanControl đã xác nhận trong một bản phát hành trên GitHub rằng driver này có một lỗ hổng đã được biết đến và chưa được vá. Chi tiết trong nhật ký thay đổi cho biết: “Driver kernel này luôn có một lỗ hổng đã biết, về lý thuyết có thể bị khai thác trên một máy bị nhiễm. Driver hoặc bản thân chương trình không độc hại và không an toàn hơn hay kém an toàn hơn trước khi bị gắn cờ. Việc xem xét rủi ro trước khi thực hiện bất kỳ hành động nào với Defender là một thông lệ tốt.”
Tương tự, Razer cũng đã triển khai một bản vá vào cuối tháng 2 để loại bỏ việc sử dụng driver này trong mã Synapse của họ. Thực tế, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã theo dõi lỗ hổng này với mã định danh CVE-2020-14979 từ tháng 8 năm 2020. Nếu tìm kiếm về lỗ hổng này, bạn sẽ thấy nhiều chủ đề thảo luận trên các diễn đàn về việc các ứng dụng liên quan bị phần mềm diệt virus khác gắn cờ là malware, điều này làm cho việc Microsoft quyết định hành động vào thời điểm hiện tại trở nên đáng chú ý.
Biểu tượng cảnh báo nguy hiểm màu vàng trên màn hình laptop, minh họa cho lỗ hổng bảo mật CVE-2020-14979 trong driver WinRing0x64.sys khiến các ứng dụng bị Microsoft Defender chặn.
Kết Luận
Có vẻ như vấn đề này không phải là một lỗi giả mà là một lỗ hổng bảo mật có thật đã tồn tại trong driver WinRing0x64.sys từ lâu. Vì việc vá driver này được cho là một quy trình phức tạp và nó đã không được khắc phục trong gần 5 năm kể từ khi được theo dõi trên NVD, khả năng có một bản sửa lỗi chính thức trong tương lai gần là không cao. Đối với người dùng các phần mềm bị ảnh hưởng, bạn nên liên hệ với nhà cung cấp phần mềm tương ứng để yêu cầu cập nhật loại bỏ sự phụ thuộc vào driver này. Nếu điều đó không thể thực hiện, người dùng sẽ phải lựa chọn giữa việc bỏ qua cảnh báo từ Microsoft Defender hoặc ngừng sử dụng các ứng dụng bị ảnh hưởng để đảm bảo an toàn cho hệ thống.
Bạn nghĩ sao về vấn đề này? Liệu Microsoft có nên cung cấp một giải pháp rõ ràng hơn hay các nhà phát triển nên ưu tiên loại bỏ driver lỗi thời này? Hãy để lại bình luận và chia sẻ ý kiến của bạn bên dưới nhé!
