WinRing0 คืออะไร และทำไม Windows Defender ถึงเตือน?
ช่วงนี้ผู้ใช้หลายคนอาจเห็นข้อความแจ้งเตือนจาก Microsoft Defender ว่ามีการตรวจพบ “VulnerableDriver:WinNT/WinRing0” บนเครื่องพีซีเกมมิ่ง ซึ่งไม่ใช่การแจ้งเตือนผิดพลาด แต่เป็นปัญหาจริงที่เกี่ยวข้องกับช่องโหว่ในไฟล์ WinRing0.sys และ WinRing0x64.sys ที่ถูกบันทึกไว้โดย NIST (National Institute of Standards and Technology – หน่วยงานด้านมาตรฐานของสหรัฐฯ)
แม้ตัวไดรเวอร์จะไม่ใช่มัลแวร์ แต่กลับเปิดช่องให้มัลแวร์อื่นเข้ามาโจมตีเครื่องได้ โดยเฉพาะการรันโค้ดระดับลึกที่เข้าถึงฮาร์ดแวร์ได้โดยตรง
แอปยอดนิยมจำนวนมากยังใช้ WinRing0 อยู่
ปัญหาคือ WinRing0 ถูกฝังอยู่ในแอปจำนวนมากที่ผู้ใช้เกมเมอร์รู้จัก เช่น
- MSI Afterburner
- HWiNFO
- Open Hardware Monitor
- OpenRGB
- Razer Synapse
- SteelSeries Engine
- EVGA Precision X1 (เวอร์ชันเก่า)
- CapFrameX
- FanCtrl
- ZenTimings
- และเครื่องมืออีกหลายตัวที่ใช้ควบคุมพัดลม, ตรวจสอบอุณหภูมิ, หรือปรับไฟ RGB
สิ่งเหล่านี้เป็นยูทิลิตี้ที่หลายคนมองว่าขาดไม่ได้ แต่การใช้งานก็ทำให้ต้องเผชิญกับความเสี่ยงโดยตรง
ประวัติของ WinRing0 และสาเหตุที่กลายเป็นปัญหา
WinRing0 ถูกพัฒนาขึ้นตั้งแต่ราวปี 2010 โดยนักพัฒนาชาวญี่ปุ่น Noriyuki Miyazaki (Hiyohiyo) ผู้สร้างโปรแกรม CrystalDiskMark ที่เราคุ้นเคยกันดี แต่ในเวลาต่อมา เขาได้ถอดฟีเจอร์สำคัญออกและประกาศว่าตัวโปรเจกต์ไม่ประสบความสำเร็จ
แม้โครงการจะถูกทิ้ง แต่โค้ดของ WinRing0 ยังคงถูกนำไปใช้ในหลายแอป ทำให้ไม่มีใครดูแลหรืออัปเดตเพื่ออุดช่องโหว่ เมื่อเวลาผ่านไป มัลแวร์เริ่มใช้ช่องโหว่นี้เป็นทางเข้าฝัง cryptominer หรือโปรแกรมขุดเหรียญคริปโตโดยไม่รู้ตัว ส่งผลให้พีซีเกมมิ่งทำงานช้าลงและกินทรัพยากรมากผิดปกติ
Microsoft ยืนยันการตรวจพบ – แต่ให้ผู้ใช้เลือกเอง
Microsoft ระบุชัดเจนว่า ที่ Windows Defender ตรวจจับ WinRing0 “ไม่ใช่ false positive” หรือการแจ้งเตือนผิดพลาด แต่เป็นการตรวจพบที่ถูกต้อง
อย่างไรก็ตาม Windows Defender ก็ยังเปิดโอกาสให้ผู้ใช้สามารถกด “Exclude” เพื่อยกเว้นไฟล์หรือแอปที่ใช้ WinRing0 ได้
ซึ่งนี่คือทางเลือกที่อันตราย เพราะแม้คุณจะยังคงใช้งานโปรแกรมเหล่านี้ได้ แต่ก็เปิดช่องให้มัลแวร์เข้ามาโจมตีได้เช่นกัน
ทางออกชั่วคราวที่นักพัฒนาบางรายทำ
- EVGA ได้อัปเดตเวอร์ชันใหม่ของ Precision X1 เพื่อแก้ปัญหานี้แล้ว แต่เฉพาะไดรเวอร์เก่าที่ยังมีช่องโหว่
- แอปอื่น ๆ เช่น MSI Afterburner, Razer Synapse และ HWiNFO ยังมีการพึ่งพา WinRing0 อยู่
นั่นหมายความว่าผู้ใช้ยังคงเสี่ยง หากเลือกจะใช้งานต่อโดยไม่ปิดการแจ้งเตือน
Microsoft มีแผนอะไรต่อ?
มีแนวโน้มว่า Microsoft อาจพยายามเข้ามาแทนที่การทำงานของ WinRing0 ด้วยฟีเจอร์ในตัว Windows เอง เช่น
- Dynamic Lighting ที่เริ่มให้ Windows ควบคุมไฟ RGB ได้โดยตรง
- แต่เรื่อง fan control หรือการปรับรอบพัดลมยังไม่มีการแก้ไข ทำให้ผู้ใช้ยังต้องพึ่งพาโปรแกรมของผู้ผลิต
Wendell Wilson จาก Level1 Techs วิเคราะห์ว่า ถ้า Microsoft ไม่ก้าวเข้ามาจัดการตรงนี้ ผู้ใช้ก็ยังคงติดอยู่กับปัญหาเดิม
ผู้ใช้ควรทำอย่างไรตอนนี้?
- อย่าเพิ่งกดยกเว้น (Exclude) โดยไม่คิด เพราะอาจเปิดประตูให้มัลแวร์โจมตีได้ง่าย
- ติดตามอัปเดตจากนักพัฒนาแอปที่คุณใช้อยู่ ว่าจะมีการออกเวอร์ชันใหม่ที่แก้ไขปัญหานี้หรือไม่
- ถ้าจำเป็นต้องใช้งานจริง ๆ เช่น ควบคุมไฟ RGB หรือรอบพัดลม ควรใช้อย่างระมัดระวัง และตรวจสอบความปลอดภัยสม่ำเสมอ
- หันไปใช้แอปที่มีการพัฒนาบน secure driver frameworks หรือทำงานผ่าน WMI, HAL หรือ sandboxed environments ซึ่งปลอดภัยกว่า
สรุป
ช่องโหว่ใน WinRing0 เป็นเรื่องใหญ่ที่กระทบผู้ใช้พีซีเกมมิ่งทั่วโลก เพราะมันอยู่เบื้องหลังแอปยอดนิยมมากมาย ปัญหานี้ยังไม่มีการแก้ไขที่ต้นเหตุ เนื่องจากไม่มีผู้ดูแลโค้ดดั้งเดิมแล้ว ทางเดียวที่ผู้ใช้ทำได้คือ “เลือก” ว่าจะปิดฟังก์ชันบางอย่างเพื่อความปลอดภัย หรือยอมเสี่ยงเพื่อใช้ความสามารถของแอปเหมือนเดิม
ทางที่ปลอดภัยที่สุดคือ หลีกเลี่ยงการกดยกเว้นใน Defender และรออัปเดตจากนักพัฒนาแอป เพื่อให้พีซีของคุณปลอดภัยจากมัลแวร์ที่อาจเข้ามาโจมตี
ที่มา: PCWorld
