هذا سبب قيام Windows بإشارة التطبيقات العشوائية كتهديد

استيقظ بعض مالكي Windows PC في وقت سابق من هذا الأسبوع للعثور على أجهزة الكمبيوتر الخاصة بهم فجأة بعرض الرسائل غير المرغوب فيها مع تنبيهات Windows Defender حول “HackTool” جديد يسمى Winring0. على الرغم من أن هذه التنبيهات هي بالتأكيد مقلقة ، فإن احتمالات جهاز الكمبيوتر الخاص بك لا يتعرض بالفعل للهجوم – على الأقل ليس فقط بعد. لكن هذا لا يعني أنه يجب عليك تجاهل التنبيهات أيضًا.

لماذا بدأ Winring0 في تشغيل Windows Defender

المشكلة في تنبيهات عشوائية مثل هذا هي أنه ليس من الواضح دائمًا ما هو التهديد أو لماذا يرى المدافع أنه تهديد. في حالة Winring0 ، يرجع السبب في ذلك إلى أن الاستغلال في هذا البرنامج من البرامج على مستوى النواة كان مرتبطًا سابقًا بقطعة خطيرة من البرامج الضارة (مثل ذكرت BleepingComputer).

إن وجود وصول على مستوى kernel يعني بشكل أساسي أن WinRing0 لديه إمكانية الوصول إلى المكونات والموارد الأساسية لنظام التشغيل الخاص بك. هذه مقامرة خطرة إذا أصبح البرنامج قابلاً للاستغلال بطريقة أو بأخرى ، ويبدو أن Winring0 أصبح قوة دافعة رئيسية في كيفية عمل برنامج Steelfox Malware والوصول إلى الأنظمة المصابة.

حتى إذا كنت قد عملت بجد لتعزيز أمان Windows PC الخاص بك مع Defender ، فيمكن أن تستخدم البرامج الضارة مثل Steelfox الاستغلال الموجود في Winring0 لتجاوز ضماناتك.

المشكلة الكبيرة الأخرى مع البرامج مثل WinRing0 هي أنها تميل إلى العثور على طريقها إلى العديد من البرامج المختلفة. هذا هو الحال مع آخر تنبيه مدافع Windows ، الذي تقارير VERGE هو جزء من العديد من تطبيقات التحكم في مروحة الكمبيوتر المستخدم على نطاق واسع. ويشمل ذلك التحكم في المروحة ، والتي غطناها قبل بضع سنوات.

يبدو أن Windows Defender يثير تنبيهات إذا كان لديك برنامج آخر لمراقبة الطرف الثالث مثبتًا ، بما في ذلك Libre Hardware Monitor و MSI Afterburner و Steelseries Engine و Razer Synapse و Omenmon والمزيد.

لا ينبغي أن يكون هذا مفاجأة

التأثير الكلي الذي سيحدثه هذا على برامج مراقبة مثل مراقبة بعد مراقبة المعجبين بالفعل. ما لم تتوصل Microsoft إلى حد ما لهذه التطبيقات للوصول إلى تلك الأذونات ذات المستوى المنخفض في المستقبل ، فستواجه مخاطر أمنية هائلة عن طريق تثبيت أي منها واستخدامه.

ومع ذلك ، فإن هذه الخطوة غير متوقعة تمامًا. كان انقطاع التيار الكهربائي الهائل في العام الماضي فظيعًا للعديد من الشركات ، بما في ذلك العديد من الشركات الموجهة للرعاية الصحية. منذ انقطاع التيار الكهربائي ، كانت Microsoft تحت ضغط كبير لإغلاق الثغرات الأمنية التي لا ينبغي أن تكون موجودة ، مثل تلك التي يستخدمها Winring0 للوصول إلى أذونات على مستوى kernel.

ليس من الواضح لماذا استغرق الأمر Microsoft وقتًا طويلاً لمعالجة Winring0. ومع ذلك ، هذا لا يعني أن أجزاء البرامج التي تستخدمها عديمة الفائدة تمامًا. لا يزال بإمكانك استخدامها إذا كنت ترغب في ذلك. ومع ذلك ، قد تعرض نظامك للخطر من خلال القيام بذلك.

لسوء الحظ ، هناك حل ، لكن من غير المحتمل أن يحدث. تم بالفعل تصحيح الاستغلال الموجود في Winring0 ، وفقًا لـ تعليقات على جيثب. ومع ذلك ، فإن الحصول على هذا الإصدار المعتمد وتوقيعه من قبل Microsoft أمر غير مرجح ، لأن المجتمع مفتوح المصدر وراءه لا يعتقد أنهم قادرون على جعل Microsoft يوقع على أحدث إصدار. وبدون توقيع Microsoft ، لن تتمكن من تثبيته على نظام Windows الخاص بك على أي حال.

البديل الآخر الوحيد هو أن ينشئ كل مطوري التطبيقات من هؤلاء البرامج الخاصة بهم للوصول إلى أذونات على مستوى النواة. لكن هذا مسعى مكلف لا يستطيع الكثير منهم تحمله. حتى لو فعلوا ذلك ، فمن المحتمل أن يؤدي ذلك إلى دفع تكاليف إضافية إلى مستخدمي البرامج الخاصة بهم من خلال عمليات شراء البرامج.

إذا كنت تستخدم أي من برامج المراقبة المذكورة أعلاه ، أو إذا لاحظت أن Windows Defender تنبيهك إلى Winring0 على نظامك ، فمن المحتمل ألا تقلق في الوقت الحالي. ومع ذلك ، من الأفضل دائمًا تشغيله بأمان ، خاصةً عندما يتعلق الأمر بالبرنامج الذي يحصل على مستوى kernel مثل هذا.