如果你使用某些風扇轉速控製或硬體監控程序，可能會碰到被Microsoft Defender 偵測到威脅並自動隔離的情況，微軟給出的標記是駭客工具Winring0 (HackTool:Win32/Winring0)。

儘管Microsoft Defender 經常出現誤報情況，但比較有趣的是這次還真不是誤報，因為這些軟體呼叫的WinRing0x64.sys 驅動程式確實存在安全漏洞。

WinRing0 是Windows NT 的硬體存取庫，主要用來幫助軟體存取I/O 連接埠、MSR 和PCI 匯流排，不少軟體使用開源的LibreHardwareMonitorLib 驅動程式也就是WinRing0x64.sys。

風扇控制專案FanControl 開發者稱：

你們中的許多人報告Microsoft Defender 開始標記LibreHardwareMonitorLib 驅動程式WinRing0x64.sys，你們不需要進一步報告，因為我也知道這種情況。

此核心驅動程式始終存在已知漏洞，理論上可以在受感染的機器上加以利用，驅動程式或軟體本身並不是惡意的，安全性也不會因為微軟檢測而增高或降低，在使用Microsoft Defender 採取任何行動前(例如恢復並添加到白名單)，最好先檢查風險。

這些驅動程式最早在2020 年就被發現CVE-2020-14979 漏洞，利用該漏洞可以讀取和寫入任意記憶體位置，這屬於緩衝區堆疊溢位類別的漏洞，駭客借助此漏洞可以獲得Windows NT 系統級權限。

有開發者在issue 中表示，這個漏洞早已被知曉，但如果進行修復的話，除了需要大量重寫內核驅動程式、應用程式和介面外，還需要購買新的數位簽名，這對開源專案開發者來說比較昂貴。

另外知道微軟早就意識到這個漏洞並收緊規則，微軟此前已經通知各個供應商全面阻止這個驅動程序，最初是準備在2024 年徹底禁用的，然後又計劃到2025 年1 月禁用，直到現在微軟才實施禁用。

不過根據目前最新情況，微軟似乎也意識到禁用這個驅動程式後可能影響不少用戶的正常使用，所以微軟暫時解除了WinRing0x64.sys 的攔截，但後面肯定還會繼續攔截。

對調用這個驅動程序的軟體開發人員來說唯一能做的就是放棄這個驅動程序，例如雷蛇在2 月20 日推出的安全補丁就刪除了這個驅動程序，雷蛇用戶需要從Synapse 3 升級到Synapse 4，新版本不再包含這個驅動程序。

查看討論：https://github.com/LibreHardwareMonitor/LibreHardwareMonitor/issues/1660