WinRing0: Windows neden çeşitli PC izleme uygulamalarını kötü amaçlı yazılım olarak algılamaya başladı?

• 11 Mart 2025'ten itibaren dünya genelinde çok sayıda PC kullanıcısı, Windows Defender'dan (Windows'a yerleşik antivirüs uygulaması) kötü amaçlı yazılım uyarıları almaya başladı.
• Kötü amaçlı yazılım uyarılarının kaynağı çoğunlukla PC kontrol yazılımlarıydı; bunlar arasında Razer Synapse, SteelSeries Engine ve MSI Afterburner da bulunuyordu.
• Bu yazılımların ortak noktasının hepsinin WinRing0 adlı bir kütüphaneyi kullanması olduğu ortaya çıktı.

Modern işletim sistemlerinin güvenlik modeli

• İşletim sistemleri, sistemi korumak için "protection ring" yapısını kullanır. Ring 0'dan 3'e kadar seviyeler vardır, ancak modern işletim sistemlerinde yalnızca 0 ve 3 kullanılır.
• Ring 0, çekirdek alanıdır; donanıma, belleğe, CPU register'larına ve bilgisayarın tüm bölümlerine sınırsız doğrudan erişim sağlar.
• Ring 3, uygulama alanıdır; sistem yazılımı dışındaki sıradan uygulamaların tamamı burada çalışır.
• Dıştaki ring'ler içteki ring'leri göremez; uygulama alanından çekirdek alanına erişmek için aygıt sürücüsü gerekir.

PC çevre birimi pazarının mevcut durumu

• PC çevre birimi pazarındaki rekabet kızıştıkça, üreticiler işlevsel farklılaşma için özel yazılımları birlikte sunmaya daha sık başladı.
  • Örneğin CPU soğutucularında, CPU sıcaklığına göre fan hızını doğrudan kontrol etmek mümkündür ve bu ayarlar yazılım üzerinden yapılabilir.
• Birçok donanım, işletim sistemiyle SMBus (System Management Bus) adlı protokol üzerinden iletişim kuracak şekilde tasarlanır.
• Ancak uygulama seviyesinde SMBus'a erişmek mümkün değildir; bu yalnızca aygıt sürücüsü aracılığıyla yapılabilir.

Windows Driver Model (WDM) ve WinRing0

• Donanımı SMBus üzerinden kontrol etmek için, ring 0 üzerinde çalışan bir kernel mode sürücüsü gerekir.
• Kernel mode sürücüleri yüksek güvenlik gerektirdiğinden EV (Extended Validation) elektronik imzasına sahip olmalı ve Microsoft'un doğrudan inceleyip sürücüyü imzaladığı bir süreçten geçmelidir.
• Bu süreç karmaşık ve maliyetli olduğundan, çevre birimi üreticileri bunu WinRing0 ile aşmaya başladı.
• WinRing0, CrystalDiskMark'ın geliştiricisi Miyazaki Noriyuki tarafından 2007'de geliştirilen bir sürücü ve kütüphanedir; uygulama seviyesinden ring 0'daki çeşitli bölümleri uygulama katmanına açığa çıkarır.
• Çevre birimi üreticileri, yazılımlarını WinRing0 üzerinden uygulama katmanından ring 0'a doğrudan erişip donanımı kontrol edecek şekilde geliştirdi.
• WinRing0'ın, Windows sürücü sertifikasyon süreci sıkılaştırılmadan önce cross-signing ile imzalandığı düşünülüyor.
• Geliştiricisi, WinRing0'ı düşük seviye programlamayı keşfetmek için bir tür hobi projesi olarak yaptığını belirtmişti; ancak bunun gerçek ürünlerde kullanılmaya devam etmesi üzerine 2010'da artık kullanılmamasını tavsiye ederek geliştirmeyi durdurdu.
• Buna rağmen açık kaynak yapısı nedeniyle, geliştirici bakımını bıraktıktan sonra da dağıtılmaya ve birçok yerde kullanılmaya devam etti.

WinRing0'ın güvenlik tehdidi

• WinRing0'ın amacı, normalde çekirdeğin yönetmesi gereken alanları doğrudan uygulama katmanına açmak olduğundan, bu fiilen işletim sisteminin temel güvenliğini etkisizleştirmek anlamına gelir ve uzun süredir endişe konusu olmuştur.
• Bununla ilgili birden fazla CVE kaydı bulunmaktadır (CVE-2019-6333, CVE-2020-14979, CVE-2021-44901).
• Kredi kartı numaraları, gezinme geçmişi ve tarayıcı çerezleri çaldığı bilinen "SteelFox" kötü amaçlı yazılımının bunu kullanması gibi, gerçek saldırı örnekleri de tespit edildi.
• Yalnızca WinRing0'ı doğrudan kullanan yazılımlar değil, OpenHardwareMonitor (https://github.com/openhardwaremonitor/openhardwaremonitor) ve LibreHardwareMonitor (https://github.com/LibreHardwareMonitor/LibreHardwareMonitor) üzerinden dolaylı olarak WinRing0'a bağımlı çok sayıda yazılım da bundan etkilendi.
  • HP'nin Touchpoint Analytics yazılımı OpenHardwareMonitor kullandığı için, 2019 itibarıyla piyasadaki tüm HP dizüstü bilgisayarlar etkilenmişti.
• 11 Mart 2025'te Microsoft, tüm WinRing0 sürücülerini engelleme kararı aldı.

Üreticilerin tepkisi

• WinRing0'ın güvenlik açıklarına dair endişeler uzun zamandır dile getiriliyordu ve bununla ilgili yamalar zaten hazırlanmıştı.
  • Ancak güncellenmiş sürücüyü dağıtmak için imza süreci gerektiğinden, bu yamalar dağıtılamıyor.
  • Üstelik yamanın içeriği, sürücüyü yalnızca yönetici yetkileriyle erişilebilir hale getirmekten ibaret olduğu için, temel güvenlik açığını çözmediği yönünde eleştiriler var.
• Razer ve SignalRGB, WinRing0 bağımlılığını kaldıran güncellemeler yayımladı.
• CapFrameX gibi bazı yazılımlar, kullanıcılarına ilgili programları Windows Defender istisnalarına eklemelerini öneriyor.
• Hyte Nexus'un üreticisi iBuyPower, yamalanmış WinRing0 için imza sürecini kendisinin yürütüp dağıtmaya istekli olduğunu açıkladı; ancak Microsoft'tan kayda değer bir yanıt alamadığını da belirtti.
• Steelseries, yazılımından sistem izleme özelliğini kaldırdı.

Diğer tartışma başlıkları

• WinRing0 doğası gereği riskli bir yazılım olsa da, yerine geçecek bir alternatif bulunmadığı için özellikle üçüncü taraf uygulama geliştiricileri arasında endişe var.
  • Örneğin Fan Control ve OpenRGB gibi üçüncü taraf uygulamaların WinRing0 olmadan donanımla iletişim kuracak bir yolu yok.
  • Bunun nedeni, WinRing0'ın hem açık kaynak hem de imzalanmış nadir örneklerden biri olması.
• Windows sürücü sertifikasyon sürecinin yükü de ayrıca tartışılıyor.
  • EV imzası pahalı ve düzenli olarak yenilenmesi gerekiyor; bu da geliştiriciler için ciddi bir yük oluşturuyor.