elchapuzasinformatico.com

MSI Afterburner, HWiNFO, CapFrameX y muchos más programas de monitoreo en riesgo de desaparecer por WinRing0 y Microsoft

Si tu Windows de repente ha detectado un virus mediante el antivirus que incorpora llamado Defender, puede ser que seas uno de esos casos donde no está funcionando correctamente. Si al revisar el tipo de virus y su nombre has visto que está denominado como WinRing0, en principio, no debes de preocuparte, sobre todo si La entrada MSI Afterburner, HWiNFO, CapFrameX y muchos más programas de monitoreo en riesgo de desaparecer por WinRing0 y Microsoft aparece primero en El Chapuzas Informático.

Mar 19, 2025 - 20:14
 0
MSI Afterburner, HWiNFO, CapFrameX y muchos más programas de monitoreo en riesgo de desaparecer por WinRing0 y Microsoft

Si tu Windows de repente ha detectado un virus mediante el antivirus que incorpora llamado Defender, puede ser que seas uno de esos casos donde no está funcionando correctamente. Si al revisar el tipo de virus y su nombre has visto que está denominado como WinRing0, en principio, no debes de preocuparte, sobre todo si abres alguna herramienta y software de monitoreo de tu PC y tienes problemas para controlar los ventiladores. ¿Es un virus? Salvo suplantación, no, no lo es, es un falso positivo de Windows Defender que ha catalogado a un driver y función llamada WinRing0 como un malware.

Muchos usuarios se despertaron a finales de la semana pasada con problemas en sus PC, donde parecía que estos habían decidido por su cuenta disparar las revoluciones de disipadores y ventiladores en general, en lo que parecía un ataque mediante malware en una gran cantidad de ordenadores alrededor del planeta. En Internet nadie tenía claro qué estaba pasando, y de hecho, Microsoft no ha dicho todavía nada en claro para darle solución, aunque son conscientes del problema.

WinRing0, el driver, entre otros, que gestiona el monitoreo y modificación de las revoluciones de los ventiladores/RGB en muchos softwares de control es detectado como un malware por Windows Defender

WinRing0-detectado-como-falso-positivo-por-Microsoft-Windows-Defender

Como seguro sabes, Windows Defender hace un escaneo breve de forma automática y desatendida de Windows 10 y Windows 11 en busca de malware para mantenerte seguro y a salvo, pero en esta ocasión, una actualización de su base de datos ha marcado, erróneamente, a WinRing0 como virus, y según Rémi Mercier (desarrollador de Fan Control) y reportes que están llenando algunos foros, el problema es generalizado por un simple motivo:

“Por ahora, todos los softwares de monitoreo de hardware de terceros y de código abierto están en problemas”

Este WinRing0 es, curiosamente, un driver y parte del kernel de estos softwares, que también, curiosamente, es parte de un virus real, el cual suplanta la identidad del primero para hacerse pasar por él y no ser detectado. El driver con dicho nombre no solamente se dedica al control de las RPM, sino que, en ciertos softwares famosos, también gestiona el control de los LED RGB y otras cuestiones asociadas a estos.

¿Por qué es tan dramático esto? Pues porque este driver, usado por la gran mayoría de software de control, es la manera de la que Microsoft y la industria permiten acceder al hardware a bajo nivel desde Windows. De hecho, no son muchas y están muy acotadas, así que entre las pocas opciones que hay WinRing0 es una de las más populares.

El batacazo mundial con CrowdStrike y las nuevas políticas de Microsoft

Problema BSOD Windows caos mundial por actualizacion CrowdStrike

¿Os acordáis de lo que pasó con CrowdStrike y cómo millones de PC se quedaron sin funcionar? Aquello, como vimos, creó escuela y dejó a Microsoft en un punto donde muchos pedían la restricción de ciertos softwares al hardware de bajo nivel para aumentar la seguridad. Explicamos todo el entramado y la política que iba a realizar Microsoft, pero esto ha vuelto en el día de hoy con WinRing0.

El problema de esto, es que, aunque WinRing0 accede directamente al hardware y tiene su virus a modo de suplantación de identidad, es detectado como un falso positivo por Defender, los desarrolladores no quieren cambiar a otros drivers distintos porque es prácticamente reescribir o modificar seriamente sus programas, con el coste de dinero y tiempo que ello conlleva, porque Microsoft haya cambiado de políticas en el último año y medio.

¿Qué tiene que decir Microsoft ante esta controversia? El usuario común no va a saber entender si es un falso positivo o no, más allá de poder discernir si su control de hardware a través de estos programas es inocuo, lo que delata el falso positivo, o si, en cambio, puede seguir cambiando parámetros, lo que podría resultar en un positivo del virus real. Pues los de Redmond tiran balones fuera:

Tenemos conocimiento de informes sobre aplicaciones de juegos y monitorización que se han marcado como una amenaza debido al uso de versiones sin firmar del controlador Winring0. Mientras continuamos la investigación, Microsoft Defender sigue evaluando los drivers sin firmar como una amenaza y está reevaluando la lógica de detección para ofrecer una cobertura más duradera sin provocar efectos secundarios adversos como falsos positivos.

El desarrollador de HWiNFO habló con The Verge y esto es lo que tiene que decir

Voltaje-SoC-SVI3-TFN-GIGABYTE-HWiNFO

El problema ha escalado hasta tal envergadura que muchos quieren que su voz se escuche, ya que afecta a su negocio tras décadas de avance y actualización constante, por lo que ven peligrar su trabajo.

El problema con WinRing0 es que, una vez instalado/activo en el sistema, permite acceso sin restricciones a recursos protegidos. Por lo tanto, cualquier aplicación (incluso sin permisos de administrador) puede, por ejemplo, usarlo y decir: "Oye, lee (o escribe) esta parte de la memoria". Y como el controlador tiene acceso y no restringe el rango, puede leer/modificar otros procesos, secretos en memoria o registros protegidos del kernel. Esto es muy peligroso.

No ha sido la única declaración. De nuevo The Verge recoge otra más llegada desde los compañeros de CapFrameX, los cuales afirma que:

"Si desea utilizar todas las funciones de CapFrameX, le recomendamos añadir una excepción en Defender.No se preocupe, esta medida permitirá una funcionalidad fluida sin comprometer la seguridad" dice Mark Fangmeyer como fundador.

En cambio, hay posturas contrarias, como la del fundador de SignalRGB, Timothy Sun, que afirma que dejaron de usar WinRing0 en 2023:

"Dado que WinRing0 se instala en todo el sistema, nos dimos cuenta de que dependíamos de la versión que se instalara primero en el sistema del usuario. Esto dificultaba enormemente verificar si otras aplicaciones habían instalado versiones potencialmente vulnerables, poniendo en riesgo a nuestros usuarios a pesar de nuestros mejores esfuerzos. No voy a edulcorarlo: el proceso de desarrollo fue desafiante y requirió importantes recursos de ingeniería"

¿No hay solución al problema? La hay, pero no es sencilla, ni gratis

Windows-11-24H2-problema-con-espacio-de-color-sRGB

Resulta que el problema es más profundo de lo que parece, si ya es complicado, ahora está Microsoft en medio, para variar. Se informa que WinRing0 ha sido parcheado ya tres veces en los últimos años, pero al ser código libre requiere que Microsoft firme cada versión, es decir, necesita la firma digital de los de Redmond para que Windows Defender no tache a WinRing0 como malware y permita su instalación o funcionamiento.

En otras palabras, este kernel es de código abierto y lo firma Microsoft tras revisarlo, pero al ser algo realmente potencialmente peligroso si se suplanta su identidad ya que accede al hardware a bajo nivel, parece que han dicho basta, y prefieren que los desarrolladores muden a otro, dejándolo de firmar.

¿Cómo permitiría Microsoft la firma? ¿Qué necesita? Adivina... Dinero. Al ser software libre y sin ánimo de lucro hasta ahora Microsoft no cobraba por la firma, dejando el desarrollo en manos de los programadores, donde solo las empresas de software con ánimo de lucro pagan por dicha firma para no tener problemas.

Parece justo, pero no lo es. ¿Por qué? Pues porque muchos de los softwares libres que hay para este tipo de programas de monitoreo y control del hardware son empresas realmente.

Microsoft se ha puesto seria y habría dicho basta sin más, sin avisar. Además de todo esto, resulta que ahora para obtener un certificado de firma de kernel, como es el caso para WinRing0, se necesita ser sí o sí una empresa, y pagar, además, siendo un coste recurrente para dicha empresa, puesto que la firma hay que renovarla. Como decía aquel... "Nada es gratis, y si lo es, es que tú eres el producto".

iBuyPower al rescate de WinRing0, el problema de seguridad se mantendrá igual, habrá que migrar antes o después

iBuyPower-PC-premontados

Por último y ya para finalizar, la historia, la cual se ha ido desarrollando conforme han pasado los días y todo se ha ido aclarando, donde hemos querido ser cautelosos y comedidos al tratarla, parece que puede tener un final feliz, parcialmente, aunque Microsoft se salga con la suya. Y es que iBuyPower, el fabricante de PC para gaming preconfigurados, que usa algunos de los softwares aquí mencionados, afirma que va a intentar obtener una versión actualizada con firma digital de Microsoft para WinRing0, y una vez lo consiga, compartirá el resultado con todos los desarrolladores.

Robert Teller, director de producto de la compañía, ha querido compartir el mensaje con la comunidad, aunque no ha dicho el precio que tendrá hacer esto:

“Si esta solución funciona, compartiremos nuestra versión actualizada y firmada de la biblioteca, para que la comunidad de desarrolladores pueda distribuir nuevas versiones de sus aplicaciones con drivers validados de Microsoft”

El problema es que esto no soluciona la raíz de la seguridad, que es el pilar central en el que se basa Microsoft. Suponiendo que iBuyPower logre la firma digital, ¿quién nos dice que el virus y malware no pueda suplantar al driver y colarse como tal en millones de PC? Se necesita un driver firmado, seguro y que se comparta con la comunidad. ¿Por qué Microsoft no crea uno propio y lo pone a disposición de todos dándoles tiempo suficiente para que ajusten los programas, o creen nuevos?

Pues sería una solución. Entre tanto, las principales compañías de hardware con software de monitoreo propios están empezando a quitarlos en sus nuevas versiones donde prescinden de WinRing0, perdiendo funcionalidades importantes. Razer y SteelSeries son los primeros al parecer, y están parcheando sus programas con otros SMBus, así que, si estás afectado, quizás ya hayan lanzado nuevas versiones con dichos parches cambiando el driver a uno propio.

Desde luego, esto es un problema que afecta a miles de millones de usuarios por todo el planeta, y aunque el driver, kernel y biblioteca adquieran la firma digital de Microsoft, WinRing0 seguirá con el mismo problema de seguridad base, así que la industria, así como los desarrolladores de código libre, deberían ir pensando en migrar, o unirse y ponerse de acuerdo para que, entre todos, puedan usar algo común, un SMBus diseñado desde cero o con el beneplácito de Microsoft, para que esto termine de una vez. Seguimos informando, porque esto no ha terminado aquí.

La entrada MSI Afterburner, HWiNFO, CapFrameX y muchos más programas de monitoreo en riesgo de desaparecer por WinRing0 y Microsoft aparece primero en El Chapuzas Informático.

Leer Más

Etiquetas:

Artículo Anterior

Elon Musk: «Quien controle la fabricación de chips de IA ganará la carrera por l...

Artículo Siguiente

Crítica de Blancanieves, una de las películas más controvertidas de Disney

Publicaciones Relacionadas

Radeon RX 9070 XT filtrada: 4.096 núcleos junto a 16 GB de memoria GDDR6 a 20 Gbps

Radeon RX 9070 XT filtrada: 4.096 núcleos junto a 16 GB...

Feb 13, 2025  0

El navegador Opera presenta su agente de IA «Browser Operator»

El navegador Opera presenta su agente de IA «Browser Op...

Mar 5, 2025  0

El Huawei Mate XT Ultimate llegará a Europa a un precio de 3.499 euros

El Huawei Mate XT Ultimate llegará a Europa a un precio...

Feb 18, 2025  0