Home
» PC Tips
»
Perché Windows identifica le app casuali come minacce
Perché Windows identifica le app casuali come minacce
All'inizio di questa settimana, alcuni possessori di PC Windows si sono svegliati e hanno scoperto che i loro computer ricevevano improvvisamente messaggi di spam che avvisavano Windows Defender di un nuovo "HackTool" chiamato WinRing0. Anche se questi avvisi sono senza dubbio allarmanti, è probabile che il tuo computer non sia effettivamente sotto attacco, almeno non ancora. Ma questo non significa che si debbano ignorare gli avvertimenti.
Perché WinRing0 ha iniziato ad attivare Windows Defender
Il problema con avvisi casuali come questo è che non è sempre chiaro quale sia la minaccia o perché Defender la consideri tale. Nel caso di WinRing0, il problema era dovuto a un exploit in questo software a livello kernel, precedentemente collegato a un pericoloso malware (come riportato da BleepingComputer).
In pratica, avere accesso a livello kernel significa che WinRing0 ha accesso ai componenti principali e alle risorse del sistema operativo. Si tratta di una scommessa pericolosa se il software può essere in qualche modo sfruttato, e sembra che WinRing0 sia il fattore principale dietro il funzionamento del malware SteelFox e il modo in cui riesce ad accedere ai sistemi infetti.
Anche se hai fatto uno sforzo per rafforzare la sicurezza del tuo PC Windows con Defender, malware come SteelFox possono comunque sfruttare la vulnerabilità trovata in WinRing0 per aggirare le tue protezioni.
Un altro grosso problema di software come WinRing0 è che tende a infiltrarsi in molti software diversi. È il caso dell'ultimo avviso di Windows Defender, che secondo The Verge fa parte di una serie di app di controllo delle ventole per PC ampiamente utilizzate, tra cui Fan Control, menzionata qualche anno fa.
Sembra che Windows Defender attivi l'avviso anche se sono installati altri software di monitoraggio di terze parti, tra cui Libre Hardware Monitor, MSI Afterburner , SteelSeries Engine, Razer Synapse, OmenMon, ecc.
Ciò non sorprende.
L'impatto complessivo di questo sui software di monitoraggio come Afterburner e Fan Control è chiaro. A meno che Microsoft non fornisca in futuro un modo per consentire a queste app di accedere a queste autorizzazioni di basso livello, installandole e utilizzandone una si corre un rischio enorme per la sicurezza.
Tuttavia, la mossa non è del tutto inaspettata. Il massiccio incidente di CrowdStrike dello scorso anno ha avuto conseguenze disastrose per molte aziende, tra cui alcune operanti nel settore sanitario. Da quell'incidente, Microsoft è stata sottoposta a forti pressioni per chiudere falle di sicurezza che non dovrebbero esistere, come quella utilizzata da WinRing0 per accedere ai privilegi a livello di kernel.
Non è chiaro il motivo per cui Microsoft abbia impiegato così tanto tempo per risolvere il problema WinRing0. Ciò non significa però che il software che lo utilizza sia completamente inutile. Puoi comunque utilizzarli se vuoi. Tuttavia, così facendo, molto probabilmente stai mettendo a rischio il tuo sistema.
Esegui la scansione di Windows Defender nelle impostazioni di sicurezza di Windows
Purtroppo esiste una soluzione, ma le probabilità di successo sono molto basse. Secondo i commenti su GitHub, la vulnerabilità trovata in WinRing0 è stata risolta. Tuttavia, è improbabile che Microsoft approvi e firmi quella versione, poiché la comunità open source che la sostiene non ritiene di avere i mezzi per far sì che Microsoft firmi l'ultima versione. E senza la firma Microsoft, non potrai installarlo sul tuo sistema Windows.
L'unica altra alternativa è che ciascuno di questi sviluppatori di applicazioni crei il proprio software per accedere ai permessi a livello di kernel. Ma è un'impresa costosa che molti di loro non possono permettersi. Anche se lo facessero, molto probabilmente ciò si tradurrebbe in costi aggiuntivi per gli utenti del loro software, dovuti all'acquisto di software.
Se utilizzi uno dei software di monitoraggio menzionati sopra o se noti che Windows Defender ti avvisa della presenza di WinRing0 sul tuo sistema, probabilmente per ora non c'è nulla di cui preoccuparsi. Tuttavia, è meglio prevenire che curare, soprattutto quando si tratta di software con accesso a livello kernel come questo.