لماذا يحدد Windows التطبيقات العشوائية كتهديدات

استيقظ بعض مالكي أجهزة الكمبيوتر التي تعمل بنظام Windows في وقت سابق من هذا الأسبوع ليجدوا أن أجهزة الكمبيوتر الخاصة بهم تتلقى فجأة رسائل بريد عشوائي تحذر Windows Defender من وجود "HackTool" جديد يسمى WinRing0. رغم أن هذه التحذيرات مثيرة للقلق بالتأكيد، إلا أن هناك احتمالات بأن جهاز الكمبيوتر الخاص بك لا يتعرض للهجوم فعليًا - على الأقل ليس بعد. ولكن هذا لا يعني أنه يجب عليك تجاهل التحذيرات.

لماذا بدأ WinRing0 في تنشيط Windows Defender

المشكلة مع التنبيهات العشوائية مثل هذا هي أنه ليس من الواضح دائمًا ما هو التهديد أو لماذا يعتبره Defender تهديدًا. في حالة WinRing0، كان السبب هو وجود استغلال في هذا البرنامج على مستوى النواة والذي تم ربطه سابقًا بقطعة خطيرة من البرامج الضارة (كما ذكر موقع BleepingComputer).

بشكل أساسي، فإن الحصول على إمكانية الوصول إلى مستوى kernel يعني أن WinRing0 لديه إمكانية الوصول إلى المكونات والموارد الأساسية لنظام التشغيل. إنها مخاطرة خطيرة إذا كان من الممكن استغلال البرنامج بطريقة أو بأخرى، ويبدو أن WinRing0 كان المحرك الرئيسي وراء كيفية عمل برنامج SteelFox الخبيث وحصوله على إمكانية الوصول إلى الأنظمة المصابة.

حتى لو بذلت جهدًا لتعزيز أمان جهاز الكمبيوتر الذي يعمل بنظام Windows باستخدام Defender، فلا يزال بإمكان البرامج الضارة مثل SteelFox استخدام الثغرة الأمنية الموجودة في WinRing0 لتجاوز حمايتك.

هناك مشكلة كبيرة أخرى مع برامج مثل WinRing0 وهي أنها تميل إلى إيجاد طريقها إلى العديد من البرامج المختلفة. هذا هو الحال مع تحذير Windows Defender الأخير، والذي أفاد موقع The Verge بأنه جزء من عدد من تطبيقات التحكم في مروحة الكمبيوتر المستخدمة على نطاق واسع، بما في ذلك Fan Control، والذي تم ذكره قبل بضع سنوات.

يبدو أيضًا أن Windows Defender يقوم بتشغيل التحذير إذا كان لديك برنامج مراقبة تابع لجهة خارجية آخر مثبتًا، بما في ذلك Libre Hardware Monitor، وMSI Afterburner ، وSteelSeries Engine، وRazer Synapse، وOmenMon، وما إلى ذلك.

وهذا ليس مفاجئا.

من الواضح أن التأثير العام لذلك على برامج المراقبة مثل Afterburner وFan Control واضح. ما لم توفر Microsoft طريقة ما لهذه التطبيقات للوصول إلى هذه الأذونات منخفضة المستوى في المستقبل، فأنت تتعرض لمخاطر أمنية كبيرة عن طريق تثبيت أي منها واستخدامها.

ومع ذلك، فإن هذه الخطوة ليست غير متوقعة تماما. كان لحادث CrowdStrike الضخم الذي وقع العام الماضي عواقب وخيمة على العديد من الشركات، بما في ذلك بعض الشركات التي تركز على الرعاية الصحية. منذ تلك الحادثة، تعرضت شركة Microsoft لضغوط كبيرة لإغلاق الثغرات الأمنية التي لا ينبغي أن توجد، مثل تلك التي استخدمها WinRing0 للوصول إلى امتيازات مستوى kernel.

من غير الواضح لماذا استغرقت Microsoft وقتًا طويلاً لمعالجة WinRing0. ومع ذلك، هذا لا يعني أن البرنامج الذي يستخدمه عديم الفائدة تمامًا. لا يزال بإمكانك استخدامها إذا كنت تريد ذلك. ومع ذلك، فمن المرجح جدًا أن تعرض نظامك للخطر إذا قمت بذلك.

لسوء الحظ، هناك حل، ولكن فرص النجاح ضئيلة للغاية. وفقًا للتعليقات على GitHub، تم تصحيح الثغرة الأمنية الموجودة في WinRing0. ومع ذلك، فمن غير المرجح أن تتمكن شركة مايكروسوفت من الموافقة على هذا الإصدار وتوقيعه، وذلك لأن مجتمع المصدر المفتوح الذي يقف وراءه لا يعتقد أن لديه القدرة على جعل مايكروسوفت توقع على أحدث إصدار. وبدون توقيع مايكروسوفت، لن تتمكن من تثبيته على نظام ويندوز الخاص بك.

البديل الآخر الوحيد هو أن يقوم كل من مطوري هذه التطبيقات بإنشاء برنامج خاص بهم للوصول إلى أذونات مستوى النواة. لكنها مهمة مكلفة ولا يستطيع الكثير منهم تحمل تكلفتها. وحتى لو فعلوا ذلك، فمن المرجح أن يؤدي ذلك إلى تكاليف إضافية لمستخدمي برامجهم من خلال شراء البرامج.

إذا كنت تستخدم أيًا من برامج المراقبة المذكورة أعلاه أو إذا لاحظت أن Windows Defender يحذرك من وجود WinRing0 على نظامك، فربما لا يوجد ما يدعو للقلق في الوقت الحالي. ومع ذلك، فمن الأفضل أن تكون آمنًا من أن تكون آسفًا، خاصةً عندما يتعلق الأمر ببرامج ذات إمكانية الوصول إلى مستوى النواة مثل هذا.