現在、Windows 11/10で、Microsoft DefenderがさまざまなPC監視ソフトやファンコントロールソフトに「WinRing0」という危険フラグを立てていることがわかりました(Neowin)。
RazerやSteelSeries、その他サードパーティ製のアプリが影響を受けており、これらのアプリは「WinRing0x64.sys(WinRing0)」というシステムドライバーを使用しているとのこと。このドライバーには既知の脆弱性があり、悪意のある攻撃者によって悪用される可能性があるため、Defenderが「HackTool:Win32/Winring0」として検出し隔離している模様です。
2020年に発見された脆弱性は「CVE-2020-14979」として特定されていて、任意のメモリ位置への読み書きが可能になり、システム権限を不正取得される可能性があるというものです。
WinRing0に脆弱性があるのは確かでですが、ハードウェアを制御するためのドライバとして適当な代替が存在しないため、今まで利用されてきたという事情があります。
Defenderがフラグを立てるようになったことで、RazerはSynapse 3でセキュリティパッチをリリースし、最新バージョンへの更新を推奨するなど対策を進めています(Synapse 4はこのドライバーを使用していません)が、FanControlやOpenRGBといったオープンソースソフトは、WinRing0の代わりを見つけるのが難しい状態にあるようです。
Microsoft Defenderが急に「WinRing0」フラグを立てても慌てる必要はありませんが、全くの誤検出というわけではないことを知っておく必要はありそうです。
