FanControl / Winring0 als Malware eingestuft

[n8mahr]

Für alle, die sich über "Viruswarnungen" vom MS Defender wundern - jetzt hat sich scheinbar auch Microsoft entschlossen, den alten Winring0-Treiber als Malware einzustufen. Siehe auch hier, ganz unten.
Schade! mal schauen, was die Entwickler machen.
Gibt ja eigentlich nur zwei Alternativen.

1. man macht für den (potenziell tatsächlich nicht ungefährlichen) winring0 ne Ausnahme im Virenscanner
2. die Entwickler lassen ihren Treiber signieren (kostet Geld!)

 

[Kenmeri]

Hatte gerade auch diese Meldung vom Defender, aber im Zusammenhang mit dem PBO Tuner.

 

[PC295]

Gibt ja eigentlich nur zwei Alternativen.

3. ein anderes Antivirenprogramm nehmen.
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

 

[kartoffelpü]

@PC295: dann würde ich eher ne Ausnahme definieren statt deswegen auf nen anderen AV zu gehen.
Aber klar, ne 3. Möglichkeit wäre es.

 

[n8mahr]

3. ein anderes Antivirenprogramm nehmen.
https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

naja, oder halt gar keines. 🤷‍♂️die Frage ist doch eigentlich: ist es sinnvoll, einen alten Treiber zu verwenden, der anderen schädlingen Zugriff auf sensible Systembereiche einräumen kann?
Finde es daher gar nicht so schlecht, dass MS diese Problematik aufgegriffen hat.
Ausnahme definieren wäre dann einfacher und jedem selbst überlassen.

 

[prian]

3. ein anderes Antivirenprogramm nehmen.

Nein, das ist KEINE Alternative.
Die machen das i.d.R. und auch Außerhalb der Regel auch nicht besser.

Ausnahme hinterlegen oder abwarten bis das wieder korrigiert wird.

 

[PC295]

Bei MS ist das eher Willkür.
Das sieht man an auch an der Sperrliste. Dort werden gleichmal pauschal Dateiversionen in der Zukunft blockiert.
Es erfolgt also keine Prüfung, ob Treiber anfällig sind bzw. Lücken noch bestehen.

 

[Utensil1538]

Etwas Lektüre https://www.deskmodder.de/blog/2025/03/11/der-defender-blockiert-tools-mit-hacktoolwin32-winring0/

Betrifft wohl nicht nur FanControl oder den Ddefender.

 

[Sacro]

Bei MS ist das eher Willkür.

Diesmal nicht, geht um den Winring0 Kernel-Treiber (der neben Fancontrol auch von anderen Projekten wie HardwareLibMonitor, ZenTimings, PBO2 Tuner, OpenRGB etc. genutzt wird). Der Treiber hat schon seit Jahren ne bekannte CVE - wie dort erwähnt kann man sich über den (auch ohne Adminrechte) schöne Systemrechte holen.

Problem ist halt, dass selbst wenn ein neuer Treiber geschrieben wird er dann von MS signiert werden muss - soweit ich's gelesen hab macht MS das generell nur
1. Gegen eine wohl nicht gerade kleine Summe Geld und
2. Nur für Firmen

Das Geld könnte man ja eventuell über Crowdfunding oder sowas bekommen (je nachdem wie hoch die Summe denn ist), aber Punkt 2 könnte schon schwerer werden, falls sich nicht eine Firma findet die das stellvertretent bei MS einreicht.

Da der Defender den jetzt blockiert (was ja nicht einmal wirklich falsch ist), werden die ganzen Projekte sich wohl in nächster Zeit etwas einfallen lassen müssen.

 

[PC295]

Mit dem heutigen Update von FanControl kam ein Statement:

 

[MonteSuma]

Gibts ne Alternative zu FanControl, die keinen unsicheren Treiber nutzt? Dauerhaft ne Ausnahme im Defender machen klingt irgendwie nicht so prickelnd...

 

[n8mahr]

@MonteSuma zu 100% keinen kostenfreien / open source. Gründe siehe oben

 

[kartoffelpü]

Bei mir hatte sich Defender gestern noch nicht gemeldet. Mal schauen, ob heute was kommt...