Những ngày gần đây, một số chủ sở hữu PC Windows đã bất ngờ nhận được hàng loạt cảnh báo từ Windows Defender về một “HackTool” mới mang tên WinRing0. Mặc dù những cảnh báo này chắc chắn gây lo ngại, nhưng nhiều khả năng máy tính của bạn chưa thực sự bị tấn công — ít nhất là ở thời điểm hiện tại. Tuy nhiên, điều này không có nghĩa là bạn nên phớt lờ các cảnh báo. Việc hiểu rõ bản chất của WinRing0 và nguyên nhân Windows Defender phát hiện nó là chìa khóa để bảo vệ hệ thống của bạn.
Vì Sao Windows Defender Lại Phát Hiện WinRing0?
Vấn đề với các cảnh báo ngẫu nhiên như thế này là không phải lúc nào mối đe dọa hay lý do Defender coi nó là mối đe dọa cũng rõ ràng. Trong trường hợp của WinRing0, nguyên nhân là do một lỗ hổng trong phần mềm cấp kernel này trước đây đã bị liên kết với một loại phần mềm độc hại nguy hiểm. Cụ thể, trang BleepingComputer đã báo cáo về việc WinRing0 được sử dụng trong malware SteelFox.
Việc có quyền truy cập cấp kernel đồng nghĩa với việc WinRing0 có khả năng tiếp cận các thành phần và tài nguyên cốt lõi của hệ điều hành. Đây là một rủi ro cực kỳ nguy hiểm nếu phần mềm này bị khai thác theo cách nào đó. Có vẻ như WinRing0 đã trở thành một yếu tố quan trọng trong cách thức hoạt động và giành quyền truy cập vào các hệ thống bị nhiễm của malware SteelFox. Ngay cả khi bạn đã nỗ lực tăng cường bảo mật cho PC Windows của mình bằng Defender, các phần mềm độc hại như SteelFox vẫn có thể sử dụng lỗ hổng được tìm thấy trong WinRing0 để vượt qua các biện pháp bảo vệ.
Người dùng xem biểu tượng Windows Security trên màn hình laptop
Vấn đề lớn khác với phần mềm như WinRing0 là nó có xu hướng tích hợp vào nhiều ứng dụng khác nhau. Điều này đúng với cảnh báo Windows Defender mới nhất, khi The Verge báo cáo rằng WinRing0 là một phần của nhiều ứng dụng điều khiển quạt PC được sử dụng rộng rãi. Điều này bao gồm Fan Control, một ứng dụng phổ biến để quản lý quạt trên Windows. Windows Defender cũng có vẻ kích hoạt cảnh báo nếu bạn đã cài đặt các phần mềm giám sát bên thứ ba khác, bao gồm Libre Hardware Monitor, MSI Afterburner, SteelSeries Engine, Razer Synapse và OmenMon.
Cảnh Báo Này Không Phải Là Bất Ngờ
Tổng thể, tác động của vấn đề này lên các phần mềm giám sát như MSI Afterburner và Fan Control đã trở nên rõ ràng. Trừ khi Microsoft đưa ra một cách nào đó để các ứng dụng này có thể truy cập các quyền cấp thấp trong tương lai, bạn sẽ phải đối mặt với rủi ro bảo mật lớn khi cài đặt và sử dụng bất kỳ ứng dụng nào trong số đó.
Tuy nhiên, động thái này của Microsoft không hoàn toàn bất ngờ. Sự cố ngừng hoạt động lớn của CrowdStrike vào năm ngoái đã gây ảnh hưởng nghiêm trọng đến nhiều công ty, bao gồm cả một số doanh nghiệp trong lĩnh vực y tế. Kể từ sự cố đó, Microsoft đã chịu rất nhiều áp lực phải đóng các lỗ hổng bảo mật đáng lẽ không nên tồn tại, chẳng hạn như lỗ hổng mà WinRing0 sử dụng để truy cập các quyền cấp kernel.
Hiện vẫn chưa rõ tại sao Microsoft lại mất nhiều thời gian để xử lý WinRing0 như vậy. Tuy nhiên, điều này không có nghĩa là các phần mềm sử dụng nó hoàn toàn vô dụng. Bạn vẫn có thể sử dụng chúng nếu muốn. Dù vậy, việc làm như vậy có thể sẽ đặt hệ thống của bạn vào tình thế rủi ro. Đáng tiếc, có một giải pháp nhưng rất khó để thực hiện. Lỗ hổng tìm thấy trong WinRing0 đã được vá lỗi, theo các bình luận trên GitHub. Tuy nhiên, việc nhận được phiên bản này được Microsoft chấp thuận và ký số là điều khó xảy ra. Cộng đồng mã nguồn mở đằng sau WinRing0 tin rằng họ không đủ khả năng chi trả để Microsoft ký số phiên bản mới nhất. Và không có chữ ký của Microsoft, bạn sẽ không thể cài đặt nó trên hệ thống Windows của mình.
Giải pháp thay thế duy nhất khác là mỗi nhà phát triển ứng dụng này phải tự tạo ra phần mềm riêng để truy cập các quyền cấp kernel. Nhưng đó là một nỗ lực tốn kém mà nhiều người trong số họ không thể chi trả. Ngay cả khi họ làm được, điều này có thể sẽ dẫn đến chi phí bổ sung được đẩy sang người dùng thông qua việc mua phần mềm.
Nếu bạn đang sử dụng bất kỳ phần mềm giám sát nào được đề cập ở trên, hoặc nếu bạn đã nhận thấy Windows Defender cảnh báo về WinRing0 trên hệ thống của mình, có thể hiện tại chưa có gì đáng lo ngại ngay lập tức. Tuy nhiên, luôn tốt hơn là nên đề phòng, đặc biệt khi liên quan đến phần mềm có quyền truy cập cấp kernel như thế này.
Đừng ngần ngại chia sẻ trải nghiệm hoặc thắc mắc của bạn về cảnh báo WinRing0 này trong phần bình luận bên dưới.
