Home
» Dicas para PC
»
Por que o Windows identifica aplicativos aleatórios como ameaças
Por que o Windows identifica aplicativos aleatórios como ameaças
Alguns donos de PCs com Windows acordaram no início desta semana e descobriram que seus computadores estavam recebendo mensagens de spam do Windows Defender, alertando sobre uma nova "ferramenta de hacking" chamada WinRing0. Embora esses avisos sejam certamente preocupantes, é provável que seu computador não esteja realmente sob ataque — pelo menos não ainda. Mas isso não significa que você deva ignorá-los.
Por que o WinRing0 começou a ativar o Windows Defender
O problema com alertas aleatórios como esse é que nem sempre fica claro qual é a ameaça ou por que o Defender a considera uma ameaça. No caso do WinRing0, é porque uma exploração nesse software em nível de kernel já foi associada a um malware perigoso (como relatado pelo BleepingComputer).
Ter acesso em nível de kernel significa essencialmente que o WinRing0 tem acesso aos principais componentes e recursos do sistema operacional. Essa é uma aposta arriscada se o software puder ser explorado de alguma forma, e parece que o WinRing0 se tornou o principal fator por trás da forma como o malware SteelFox opera e obtém acesso aos sistemas infectados.
Mesmo que você tenha se esforçado para reforçar a segurança do seu PC Windows com o Defender, malwares como o SteelFox ainda podem usar a vulnerabilidade encontrada no WinRing0 para contornar suas proteções.
Outro grande problema com softwares como o WinRing0 é que ele tende a se infiltrar em diversos softwares diferentes. É o caso deste último aviso do Windows Defender, que, segundo o The Verge, faz parte de vários aplicativos de controle de ventoinhas de PC amplamente utilizados, incluindo o Fan Control, mencionado há alguns anos.
O Windows Defender também parece disparar o aviso se você tiver outro software de monitoramento de terceiros instalado, incluindo Libre Hardware Monitor, MSI Afterburner , SteelSeries Engine, Razer Synapse, OmenMon, etc.
Isso não é surpreendente.
O impacto geral disso em softwares de monitoramento como Afterburner e Fan Control é claro. A menos que a Microsoft forneça alguma maneira para esses aplicativos acessarem essas permissões de baixo nível no futuro, você estará correndo um enorme risco de segurança ao instalar e usar qualquer um deles.
A mudança, no entanto, não é totalmente inesperada. A enorme violação do CrowdStrike no ano passado teve consequências terríveis para muitas empresas, incluindo algumas do setor de saúde. Desde então, a Microsoft tem sofrido muita pressão para fechar brechas de segurança que não deveriam existir, como a que o WinRing0 usou para obter acesso em nível de kernel.
Não está claro por que a Microsoft demorou tanto para resolver o problema do WinRing0. Isso não significa que o software que o utiliza seja completamente inútil. Você ainda pode usá-lo se quiser. Mas provavelmente estará colocando seu sistema em risco ao fazer isso.
Execute a verificação do Windows Defender nas configurações de segurança do Windows
Infelizmente, existe uma solução alternativa, mas é improvável que funcione. De acordo com comentários no GitHub, a vulnerabilidade encontrada no WinRing0 foi corrigida. No entanto, é improvável que ele seja aprovado e assinado pela Microsoft, pois a comunidade de código aberto por trás dele não acredita ter os recursos necessários para que a Microsoft assine a versão mais recente. E sem a assinatura da Microsoft, você não conseguirá instalá-lo no seu sistema Windows.
A única alternativa é que cada um desses desenvolvedores de aplicativos crie seu próprio software para acessar permissões em nível de kernel. Mas isso é um empreendimento caro que muitos deles não podem arcar. Mesmo que o fizessem, provavelmente resultaria em custos adicionais para os usuários de seus softwares, devido à compra de softwares.
Se você usa algum dos softwares de monitoramento mencionados acima, ou se notar o Windows Defender alertando sobre o WinRing0 no seu sistema, provavelmente não há com o que se preocupar no momento. No entanto, é sempre melhor prevenir do que remediar, especialmente quando se trata de softwares com acesso em nível de kernel como este.