Winring0: لماذا يقوم Windows بإبلاغ تطبيقات مراقبة الكمبيوتر ومراقبة المعجبين كتهديد
في صباح يوم الثلاثاء ، استيقظ بعض لاعبي الكمبيوتر الشخصي لاكتشاف أجهزة الكمبيوتر الخاصة بهم على ما يبدو للتهديد. بدأ “hacktool” الذي يسمى Winring0 فجأة في تشغيل تنبيه مدافع Windows ، كما لو كانت أجهزة الكمبيوتر الخاصة بهم تتعرض للهجوم. حتى أن بعض أجهزة الكمبيوتر هذه بدأت تتصرف بشكل غريب – مثل تفجير معجبيها بسرعة عالية – بمجرد أن يتم الحجر الصحي. أنا أعلم ، لأنه حدث لي. لكن جهاز الكمبيوتر الخاص بي لم يكن في الواقع تحت الهجوم – على الأقل ، ليس بعد. عندما راجعت من أين اكتشف مدافع Windows بالفعل التهديد ، كان في السيطرة على المروحة التطبيق الذي أستخدمه لتبريد جهاز الكمبيوتر الخاص بي بذكاء. كان Windows Defender قد كسرها ، وهذا هو السبب في أن معجبي كانوا يركضون Amok. بالنسبة للآخرين ، تم اكتشاف التهديد في مشبك Razer ، محرك Steelseries ، OpenRGB ، Libre Hardware Monitor ، Capframex ، MSI Afterburner ، Omenmon ، Fanctrl ، Zentimings ، و Panorama9 ، من بين آخرين كثيرين. “اعتبارًا من الآن ، فإن جميع برامج مراقبة الأجهزة ذات الطرف الثالث / مفتوح المصدر هي مشدودة” ، أخبرني مطور مراقبة المعجبين Rémi Mercier. ها هي المنبثقة التي رأيتها يوم الثلاثاء. لقطة شاشة شون هوليستر / ذا فيريثات لأن كل هذه البرامج لديها شيء مشترك ، ثمانية من مطوريها يخبرون الحافة. إنهم (أو فعلوا) يحتويون على جزء من البرامج على مستوى النواة والتي تسمى بالفعل Winring0. و Winring0 يمكن حقا يكون تهديدا اعتبارًا من اليوم ، كان ذلك حتى مرتبط ببعض البرامج الضارة في العالم الواقعي إلى حد ما يمكن أن يختفي نظريًا جهاز الكمبيوتر الخاص بك. ولكن مرة أخرى ، هذا ليس ما يحدث على أجهزة الكمبيوتر مع هذه التطبيقات المفيدة المحددة – لا يوجد اختطاف. بدلاً من ذلك ، يتم وضع علامة على Winring0 لأنها طريقة غير آمنة لهذه الأجزاء من برامج المراقبة لمعرفة مدى سرعة تدور محبي أجهزة الكمبيوتر الخاصة بي وألوان مصابيح LED الخاصة بها ، من بين قراءات أخرى. ومع ذلك ، فإن WinRing0 منتشرة على نطاق واسع ، كما أخبرني العديد من المطورين ، لأنها واحدة من الطرق الوحيدة التي تتيح لهم Microsoft وصناعة الكمبيوتر النقر على هذا الجهاز من نظام تشغيل Windows. يقول آدم هونس ، مطور OpenRGB: “لا يوجد سوى اثنين من برامج تشغيل Windows المتوفرة بحرية أعرفهما أنهما قادران على الوصول إلى سجلات SMBUS التي نحتاجها لتكون قادرة على التحكم في LEDS: INPOUT32 و Winring0”. “لقد اعتدنا على استخدام INPOUT32 ، ولكن كان متضاربًا مع مكافحة الطليعة في RIOT ، لذلك تحولنا إلى Winring0 لأنه لم يتعارض”. “Honse وآخرون يعترفون بحرية بأن Winring0 يمكن إساءة معاملة. “إنها ليست بعض الضعف السري. إنها حرفيًا مكتبة تهدف إلى إعطاء تطبيقات UsserPace الوصول إلى شيء لم يتمكن سوى سائقي kernel من الوصول إليها عادةً. كما أنهم لا يحذرون من محاولة Microsoft لإغلاق تلك الثغرة المحتملة. بعد انقطاع CrowdStrike الذي أخرج 8.5 مليون جهاز مع تحديث عربات التي تجرها الدواب العام الماضي ، تعرضت Microsoft للضغط لتقييد البرامج التي لديها وصول خاص إلى أجهزة منخفضة المستوى ، لذلك لا يمكن أن يحدث شيء من هذا القبيل مرة أخرى. لم تقل Microsoft لماذا تتجول فقط في معالجة Winring0 الآن ، لكنها كانت إصلاح تدريجيا متطلبات السائق في التحديثات السنوية ، وهي روتينية إلى حد كبير للشركة إلى نقاط الضعف في القائمة السوداء أثناء التنقل. تظل الحقيقة أن هذا النبيذ الضعيف قد وجد طريقه إلى جميع أنواع البرامج لأنه كان ثغرة مفيدة ، ويقول العديد من المطورين الآن إنهم عالقين لأن Microsoft ستقوم بشحن الكثير لإصلاحه. حتى أن البعض يطلق على اكتشاف Windows Defender “إيجابيًا كاذبًا” ، مما يعني أنه يجب أن يكون آمنًا لاستخدام Winring0 على أي حال ، لأن تطبيقاتهم الخاصة ليست ضارة ولا توجد طريقة أخرى فعالة من حيث التكلفة لجعلهم يعملون. ينصح مطور Control Control للمستخدمين الآن “مراجعة المخاطر” قبل تحديد ما يجب القيام به. الصورة: مؤسس ControlSignalrgb المؤسس تيموثي صن يقول إن خطر الأمن أكثر تعقيدًا من ذلك. “نظرًا لأن WinRing0 يقوم بتثبيت على مستوى النظام ، فقد أدركنا أننا كنا نعتمد على أي إصدار تم تثبيته لأول مرة على نظام المستخدم. هذا جعل من الصعب للغاية التحقق مما إذا كانت التطبيقات الأخرى قد قامت بتثبيت إصدارات محتملة ، مما يعرض مستخدمينا بشكل فعال على الرغم من جهودنا “. لهذا السبب استثمرت شركته في واجهة RGB الخاصة بها بدلاً من ذلك ، في النهاية التخلص من Winring0 في عام 2023 لصالح سائق SMBUS الخاص. لكن المطورين الذين تحدثت إليهم ، بما في ذلك صن ، يتفقون على أن هذا اقتراح باهظ الثمن. يقول Sun. يقول OpenRGB's Honse: “لا تتمتع مشاريع المصادر الصغيرة الصغيرة بالقدرة المالية على السير في هذا الطريق ، ولا تكرس تجربة تطوير Microsoft Kernel للقيام بذلك”. لدهشتي ، أخبرني ثلاثة مطورين أن Winring0 لديه تم تصحيحه بالفعل، لكن مجتمع المصدر المفتوح لا يعتقد أنه يمكنهم تحمل تكاليف الحصول على إصدار جديد من Microsoft – وبدون توقيع Microsoft الرقمي ، لن يسمح Windows للمستخدمين بتثبيته للبدء. Winring0 “كان” واحد من سائقها نوعًا ما “من حيث أن مصدره مفتوح وتم توقيعه”. “لا يوجد شيء آخر مثله ، حيث أن المؤسسات لا تطور سائقي نواة مفتوحة المصدر.” وفقًا لـ Phyxionnl ، فإن مطور جهاز Libre Hardware الشهير الذي يدعم العديد من تطبيقات المراقبة (بما في ذلك التحكم في المروحة) ، Winring0 يعود تاريخها إلى وقت لم يكن Windows يطلب من Microsoft توقيع مثل هذه برامج التشغيل ؛ مؤلفها نوريوكي ميازاكي (انظر أيضًا: Crystaldidmark) على ما يبدو وقعها بنفسه. ولكن للحصول على نسخة جديدة ، سيحتاج المطورون إلى موافقة Microsoft – وسيحتاجون إلى الدفع. ليس من الممكن طلب مشاريع Hobby غير الربحية (برنامج مفتوح المصدر المجاني) لدفع نفس التكاليف لتوقيع السائقين على أنها الشركات الربحية. يبدو أيضًا أن توقيع السائقين هو أمر محدود من الوقت الذي سيحتاج إلى تجديد مستمر ، لذلك ستكون تكلفة متكررة. أيضًا ، من البحث الأولي ، يجب أن تكون شركة لتتمكن من الحصول على شهادة توقيع kernel. قامت Microsoft بتكديس سطح السفينة ضد US.Omenmon Piotr Szczepanski تقول إنه ليس من الجيد أن تقدم تطبيقك بالكامل إلى Microsoft و Virustotal للتفتيش ، “على الرغم من أن Omenmon يتم تنقيطه في كل مرة ، فإن Micros قد تم تنفيذها بشكل متكرر مرة أخرى ، حيث يتم تنقيح تحديثات التعريف وتوقيعها”. الولايات المتحدة. يقول روسانوف: “سأستبدلها بالتأكيد بشيء آخر في اللحظة التي يتوفر فيها ، لكن من الواضح الآن ، لا يمكنني تقديم المشورة للمستخدمين بتجاهله وإضافة استثناء للمدافع”. ولكن هناك بعض الأمل. تستخدم شركة تصنيع أجهزة الكمبيوتر التي تم تجهيزها مسبقًا IBUYPOWER ، التي تستخدم برنامج مراقبة HYTE NEXUS أيضًا Winring0 وتم وضع علامة عليها من قبل Windows Defender ، وتروي The Verge أنها ستحصل على توقيع Winring0 المحدث – وإعادة النتائج إلى المطورين. “إذا نجح هذا الحل ، فسنشارك نسختنا المحدثة والموقعة من المكتبة ، بحيث يمكن لمجتمع المطورين توزيع إصدارات جديدة من تطبيقاتهم مع برامج تشغيل Microsoft التي تم التحقق من صحتها” ، أخبرنا مدير منتج Hyte Robert Teller. يقول تيلر إنه ينتظر رد مايكروسوفت. لم يكن لدى Microsoft أي تعليق على The Verge. لقد طلبت من SignerRgb Sun ما إذا كان قد يشاركه سائقه SMBUS الخاص ، لكنه قال لا ، كما استثمرنا موارد كبيرة في تطوير هذا الحل على وجه التحديد لتلبية احتياجاتنا وقاعدة المستخدمين. لكن اعلم أنك قد تفقد بعض الوظائف نتيجة لذلك. لا تزال بعض أجهزة Razer القديمة جدًا تتطلب Synapse 2 ، ومصانع الفولاذ فقط أزال تطبيق مراقبة النظام بالكامل لمعالجة الضعف ، يعني أن اللاعبين لم يعد بإمكانه رؤية بيانات النظام على شاشات الأجهزة الطرفية. برنامج Razer VP VP Quyen Quach يقول Synapse 4 لم يستخدم Winring0 على الإطلاق وأن الشركة مصححة Synapse 3 لإزالتها قبل ثلاثة أسابيع فقط. (tagstotranslate) تقرير Microsoft (T) (T) Tech (T) Windows
المصدر
