Intégré au système d'exploitation à partir du 11 mars Windows logiciel antivirus Windows Windows Defender a commencé à bloquer (mettre en quarantaine) le pilote gratuit WinRing0. Ce pilote permet d'accéder à divers périphériques matériels depuis l'espace utilisateur, pour lesquels aucune autre API n'est fournie par le système.
Le pilote WinRing0 est demandé dans les projets qui gèrent les paramètres matériels, à la fois libres (OpenRGB, Libre Hardware Monitor, FanControl) et propriétaires (SignalRGB, Razer Synapse 3). Parmi les programmes qui utilisent le pilote, il existe des logiciels officiels de dizaines de fabricants d'équipements, y compris les plus populaires. Il convient de noter que le pilote a été signé indépendamment par l'auteur (le développeur de CrystalDiskMark) et accepté par Microsoft.
Le problème noté par Microsoft qui a conduit au blocage est que n'importe quel programme peut accéder au pilote installé sur le système, et via le pilote, le programme peut manipuler n'importe quel périphérique sur le système ou augmenter ses privilèges (CVE-2020-14979).
Face au confinement, de nombreuses entreprises ont été contraintes de réagir. Par exemple, SignalRGB a changé le programme pour utiliser son propre remplacement propriétaire, tandis que Steelseries a complètement désactivé la fonctionnalité de son logiciel permettant d'afficher les mesures du système sur les écrans intégrés de son équipement.
Actuellement, un correctif a été publié pour WinRing0 qui limite le pilote aux programmes exécutés avec des privilèges d'administrateur. Cependant, en raison des modifications apportées à la politique de pilotes de Microsoft, il est difficile d'obtenir une signature pour une nouvelle version.
La société chinoise HYTE, qui développe un logiciel de surveillance du matériel HYTE Nexus, qui utilise également ce pilote, s'est portée volontaire pour prendre en charge la procédure bureaucratique et a annoncé qu'elle publierait une version signée pour une utilisation gratuite. Cependant, même si Microsoft accepte le pilote mis à jour, de nombreux programmes de gestion et de surveillance des paramètres matériels devront être exécutés avec des droits d'administrateur ou adaptés pour fonctionner avec le pilote modifié.
Le pilote WinRing0 ne possède qu'une seule interface analogique appelée inpout32, qui n'est actuellement pas bloquée. Windows Il est protégé par les programmes antivirus et de défense, mais il est bloqué par les systèmes anti-triche populaires (dont le plus célèbre est Vanguard de RIOT, utilisé dans des jeux comme Valorant).
Source: opennet.ru
