WinRing0: Warum Windows verschiedene PC-Monitoring-Apps plötzlich als Malware erkennt

• Seit dem 11. März 2025 erhalten zahllose PC-Nutzer weltweit Malware-Warnungen von Windows Defender, der in Windows integrierten Antiviren-App.
• Die Quelle der Malware-Erkennung liegt meist bei Software zur PC-Steuerung, darunter Razer Synapse, SteelSeries Engine und MSI Afterburner.
• Es stellte sich heraus, dass all diese Programme die Bibliothek WinRing0 verwendeten.

Das Sicherheitsmodell moderner Betriebssysteme

• Betriebssysteme verwenden zum Schutz des Systems eine "protection ring"-Struktur. Es gibt Ring 0 bis 3, in modernen Betriebssystemen werden jedoch nur 0 und 3 verwendet.
• Ring 0 ist der Kernel-Bereich und erlaubt uneingeschränkten direkten Zugriff auf alle Teile des Computers, darunter Hardware, Speicher und CPU-Register.
• Ring 3 ist der Anwendungsbereich; praktisch alle normalen Anwendungen außer Systemsoftware laufen hier.
• Die Struktur ist so aufgebaut, dass äußere Ringe die inneren nicht sehen können, und für den Zugriff vom Anwendungsbereich auf den Kernel-Bereich ist ein Gerätetreiber erforderlich.

Die aktuelle Lage im Markt für PC-Peripherie

• Da der Wettbewerb im Markt für PC-Peripherie immer intensiver wird, liefern Hersteller zur funktionalen Differenzierung zunehmend eigene Software mit.
  • Bei CPU-Kühlern lässt sich zum Beispiel die Lüftergeschwindigkeit direkt anhand der CPU-Temperatur steuern, und solche Einstellungen können per Software vorgenommen werden.
• Viele Hardware-Komponenten sind so ausgelegt, dass sie über das Protokoll SMBus (System Management Bus) mit dem Betriebssystem kommunizieren.
• Auf SMBus kann auf Anwendungsebene jedoch nicht direkt zugegriffen werden, sondern nur über Gerätetreiber.

Windows Driver Model (WDM) und WinRing0

• Um Hardware über SMBus zu steuern, ist ein Kernel-Mode-Treiber erforderlich, der in Ring 0 läuft.
• Da an Kernel-Mode-Treiber hohe Sicherheitsanforderungen gestellt werden, müssen sie mit einer EV- (Extended Validation) Signatur versehen sein, und Microsoft muss den Treiber direkt prüfen und signieren.
• Weil dieses Verfahren aufwendig und teuer ist, begannen Peripheriehersteller, dies über WinRing0 zu umgehen.
• WinRing0 ist ein 2007 von Miyazaki Noriyuki, dem Entwickler von CrystalDiskMark, erstellter Treiber samt Bibliothek, der verschiedene in Ring 0 vorhandene Bereiche der Anwendungsebene zugänglich macht.
• Peripheriehersteller entwickelten ihre Software so, dass sie über WinRing0 direkt aus der Anwendungsschicht auf Ring 0 zugreift, um Hardware zu steuern.
• WinRing0 wurde offenbar noch vor der Verschärfung der Windows-Treiberzertifizierung per Cross-Signing signiert.
• Der Entwickler erklärte, WinRing0 sei als eine Art Toy-Projekt zum Erkunden von Low-Level-Programmierung entstanden. Als es jedoch immer mehr Fälle gab, in denen es in realen Produkten eingesetzt wurde, stellte er 2010 die Entwicklung ein und riet davon ab, es weiter zu verwenden.
• Aufgrund der Natur von Open Source wurde es jedoch auch nach dem Ende der Pflege weiter verteilt und an vielen Stellen genutzt.

Die Sicherheitsrisiken von WinRing0

• Da der Zweck von WinRing0 darin besteht, Bereiche, die vom Kernel verwaltet werden sollten, unverändert der Anwendungsschicht offenzulegen, setzt es letztlich die grundlegende Sicherheit des Betriebssystems außer Kraft. Entsprechend gab es dazu seit langem Bedenken.
• In diesem Zusammenhang wurden mehrere CVEs registriert (CVE-2019-6333, CVE-2020-14979, CVE-2021-44901).
• Es wurden auch reale Angriffe festgestellt, etwa durch die Malware "SteelFox", die dafür bekannt ist, Kreditkartennummern, Browserverlauf und Browser-Cookies zu stehlen und dabei WinRing0 zu nutzen.
• Betroffen sind nicht nur Programme, die WinRing0 direkt verwenden, sondern auch zahlreiche Anwendungen, die indirekt über OpenHardwareMonitor (https://github.com/openhardwaremonitor/openhardwaremonitor) und LibreHardwareMonitor (https://github.com/LibreHardwareMonitor/LibreHardwareMonitor) davon abhängen.
  • Da die Software Touchpoint Analytics von HP OpenHardwareMonitor verwendet, waren 2019 praktisch alle damals im Handel erhältlichen HP-Notebooks betroffen.
• Am 11. März 2025 leitete Microsoft Maßnahmen ein, um sämtliche WinRing0-Treiber zu blockieren.

Reaktionen der Hersteller

• Bedenken wegen der Sicherheitslücken von WinRing0 gibt es schon lange, und entsprechende Patches wurden bereits entwickelt.
  • Um aktualisierte Treiber zu verteilen, ist jedoch ein Signaturverfahren nötig, weshalb die Patches nicht ausgeliefert werden konnten.
  • Zudem wird kritisiert, dass der Patch inhaltlich nur den Zugriff auf den Treiber auf Administratorrechte beschränkt und damit die grundlegende Sicherheitslücke nicht wirklich behebt.
• Razer und SignalRGB haben Updates veröffentlicht, die die Abhängigkeit von WinRing0 entfernen.
• Einige Programme wie CapFrameX weisen Nutzer an, diese Anwendungen in Windows Defender als Ausnahme hinzuzufügen.
• iBuyPower, der Hersteller von Hyte Nexus, erklärte, man sei bereit, das Signaturverfahren für einen gepatchten WinRing0 selbst durchzuführen und die Version zu verteilen, habe von Microsoft bislang jedoch keine nennenswerte Rückmeldung erhalten.
• SteelSeries hat die System-Monitoring-Funktion aus seiner Software entfernt.

Weitere Streitpunkte

• Obwohl WinRing0 von Grund auf riskant ist, gibt es vor allem unter Entwicklern von Drittanbieter-Apps Bedenken, weil es keinen wirklichen Ersatz gibt.
  • Drittanbieter-Apps wie Fan Control und OpenRGB haben ohne WinRing0 keine Möglichkeit, mit der Hardware zu kommunizieren.
  • Das liegt daran, dass WinRing0 ein seltener Fall ist: Open Source und zugleich bereits signiert.
• Es gibt außerdem Kritik an der Belastung durch das Windows-Treiberzertifizierungsverfahren.
  • EV-Signaturen sind teuer und müssen regelmäßig erneuert werden, was zusätzlichen Aufwand verursacht.