Microsoft Defender warnt vor WinRing0-Treiber:
wie man darauf reagiert
Microsoft Defender blockiert plötzlich eure PC-Wartungstools und zeigt Warnmeldungen zu "VulnerableDriver:WinNT/Winring0" an? Betroffen sind beliebte Programme wie MSI Afterburner, HWiNFO und Fan Control. Wir erklären, warum hier ein Sicherheitsrisiko lauern könnte.
Der Kern des Problems liegt in einem weitverbreiteten Treiber namens WinRing0, der in vielen Hardwareüberwachungs-Tools zum Einsatz kommt. Dieser Treiber ermöglicht den direkten Zugriff auf Hardware-Komponenten wie CPU, Speicher und Systemregister - eine Funktion, die für die Überwachung von Temperaturen, Lüftergeschwindigkeiten und anderen Systemparametern unerlässlich ist.
Microsoft hat den WinRing0-Treiber kürzlich als Sicherheitsrisiko eingestuft und blockiert ihn nun aktiv über den Windows Defender. Laut dem Konzern liegt der Grund in einer bekannten Sicherheitslücke, die als CVE-2020-14979 dokumentiert ist und auch ein echtes, noch immer existierendes Problem ist.
Die Schwachstelle ermöglicht es lokalen Nutzern, einschließlich Prozessen mit niedriger Integrität, beliebige Speicherbereiche zu lesen und zu beschreiben. Dies kann dazu führen, dass jeder Nutzer NT-Authoritysystem-Rechte erlangen kann, indem er DevicePhysicalMemory in den aufrufenden Prozess einbindet.
Die Angriffstechnik, bei der Angreifer absichtlich bekannte anfällige Treiber installieren, um sie später auszunutzen, wird als "Bring Your Own Vulnerable Driver" (BYOVD) bezeichnet. Cyberkriminelle nutzen diese Treiber, um verschiedene Aktionen durchzuführen, die ihnen beim Erreichen ihrer Ziele helfen. Im Fall der aktuell vom Defender markierten Anwendungen ist diese Lücke aber gar nicht tatsächlich enthalten.
Microsoft teilt mit, dass, wer eine der folgenden Anwendungen einsetzt, einfach einen Ausschluss für die Treiberdatei hinzufügen sollte - wenn er die Anwendung weiter nutzen möchte und sich des Risikos bewusst ist.
All diese Programme verwenden den auffälligen WinRing0-Treiber, der übrigens auch schon ein Update enthalten hat, aber schlichtweg (aus Kostengründen) nicht signiert wird und daher weiterhin als Risiko angesehen wird. Die Signierung steht seit Monaten aus und dürfte realistisch gesehen auch nicht mehr erfolgen.
Was meint ihr zu dieser Entwicklung? Habt ihr bereits Probleme mit euren Überwachungstools erlebt oder nutzt ihr andere Lösungen für die Hardwareüberwachung? Teilt eure Erfahrungen und Tipps in den Kommentaren!
Download MSI Afterburner - Grafikkarten-Tuning
Siehe auch:
Wenn Sicherheit auf Funktionalität trifft
Viele Windows-Nutzer erlebten in den letzten Tagen eine unangenehme Überraschung, doch das Problem ist ein bekanntes: Plötzlich blockiert der Defender zahlreiche beliebte Programme, unter anderem solche zur Hardwareüberwachung und Lüftersteuerung. Die Meldung "VulnerableDriver:WinNT/Winring0" erscheint, und wichtige Tools wie MSI Afterburner, HWiNFO oder Fan Control funktionieren nicht mehr.Der Kern des Problems liegt in einem weitverbreiteten Treiber namens WinRing0, der in vielen Hardwareüberwachungs-Tools zum Einsatz kommt. Dieser Treiber ermöglicht den direkten Zugriff auf Hardware-Komponenten wie CPU, Speicher und Systemregister - eine Funktion, die für die Überwachung von Temperaturen, Lüftergeschwindigkeiten und anderen Systemparametern unerlässlich ist.
Microsoft hat den WinRing0-Treiber kürzlich als Sicherheitsrisiko eingestuft und blockiert ihn nun aktiv über den Windows Defender. Laut dem Konzern liegt der Grund in einer bekannten Sicherheitslücke, die als CVE-2020-14979 dokumentiert ist und auch ein echtes, noch immer existierendes Problem ist.
Warum wird WinRing0 als Bedrohung eingestuft?
Allerdings heißt das nicht, dass die vom Defender markierten Anwendungen auch ein Problem sind, wie jetzt unter anderem Günter Born berichtet.Die Schwachstelle ermöglicht es lokalen Nutzern, einschließlich Prozessen mit niedriger Integrität, beliebige Speicherbereiche zu lesen und zu beschreiben. Dies kann dazu führen, dass jeder Nutzer NT-Authoritysystem-Rechte erlangen kann, indem er DevicePhysicalMemory in den aufrufenden Prozess einbindet.
Die Angriffstechnik, bei der Angreifer absichtlich bekannte anfällige Treiber installieren, um sie später auszunutzen, wird als "Bring Your Own Vulnerable Driver" (BYOVD) bezeichnet. Cyberkriminelle nutzen diese Treiber, um verschiedene Aktionen durchzuführen, die ihnen beim Erreichen ihrer Ziele helfen. Im Fall der aktuell vom Defender markierten Anwendungen ist diese Lücke aber gar nicht tatsächlich enthalten.
Microsoft teilt mit, dass, wer eine der folgenden Anwendungen einsetzt, einfach einen Ausschluss für die Treiberdatei hinzufügen sollte - wenn er die Anwendung weiter nutzen möchte und sich des Risikos bewusst ist.
Betroffene Anwendungen
- CapFrameX
- EVGA Precision X1 (ältere Versionen)
- FanCtrl
- HWiNFO
- Libre Hardware Monitor
- MSI Afterburner
- Open Hardware Monitor
- OpenRGB
- OmenMon
- Panorama9
- Razer Synapse
- SteelSeries Engine
- ZenTimings
All diese Programme verwenden den auffälligen WinRing0-Treiber, der übrigens auch schon ein Update enthalten hat, aber schlichtweg (aus Kostengründen) nicht signiert wird und daher weiterhin als Risiko angesehen wird. Die Signierung steht seit Monaten aus und dürfte realistisch gesehen auch nicht mehr erfolgen.
Was meint ihr zu dieser Entwicklung? Habt ihr bereits Probleme mit euren Überwachungstools erlebt oder nutzt ihr andere Lösungen für die Hardwareüberwachung? Teilt eure Erfahrungen und Tipps in den Kommentaren!
Download MSI Afterburner - Grafikkarten-Tuning
Zusammenfassung
- Microsoft Defender blockiert PC-Wartungstools mit WinRing0-Treiber
- Beliebte Programme wie MSI Afterburner und HWiNFO sind betroffen
- Treiber WinRing0 ermöglicht direkten Zugriff auf Hardware-Komponenten
- Microsoft stuft WinRing0 wegen Sicherheitslücke CVE-2020-14979 als Risiko ein
- Schwachstelle könnte zu unbefugten Systemrechten führen
- Betroffene Nutzer können Ausschlüsse für die Treiberdatei hinzufügen
- Problemtreiber enthält Update, wird aber aus Kostengründen nicht signiert
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen