WinRing0: Windows ने कई PC monitoring apps को malware के रूप में पहचानना क्यों शुरू किया

• 11 मार्च 2025 से दुनिया भर में बड़ी संख्या में PC users को Windows Defender (Windows में built-in antivirus app) से malware warning मिलनी शुरू हुई।
• malware का स्रोत ज़्यादातर PC control software थे, जिनमें Razer Synapse, SteelSeries Engine, MSI Afterburner आदि शामिल हैं।
• पता चला कि इन सभी software में एक समान बात यह थी कि वे WinRing0 नाम की library का उपयोग कर रहे थे।

आधुनिक OS का security model

• operating system सिस्टम की सुरक्षा के लिए "protection ring" संरचना अपनाता है। Ring 0 से 3 तक होते हैं, लेकिन आधुनिक OS में आम तौर पर केवल 0 और 3 का उपयोग होता है।
• Ring 0 kernel क्षेत्र है, जहाँ hardware, memory, CPU registers आदि कंप्यूटर के लगभग हर हिस्से तक बिना सीमा के direct access संभव होता है।
• Ring 3 application क्षेत्र है, और system software को छोड़कर सामान्य applications यहीं चलती हैं।
• outer ring, inner ring को नहीं देख सकता; application क्षेत्र से kernel क्षेत्र तक पहुँचने के लिए device driver की आवश्यकता होती है।

PC peripherals बाज़ार की मौजूदा स्थिति

• PC peripherals बाज़ार में प्रतिस्पर्धा बढ़ने के साथ, निर्माता feature differentiation के लिए अक्सर dedicated software भी साथ देने लगे हैं।
  • उदाहरण के लिए, CPU cooler के मामले में CPU temperature के अनुसार fan speed को सीधे नियंत्रित किया जा सकता है, और इसकी setting software के जरिए की जा सकती है।
• कई hardware इस तरह डिज़ाइन किए गए हैं कि वे SMBus(System Management Bus) नामक protocol के माध्यम से operating system से communication करें।
• लेकिन application level पर SMBus तक पहुँच संभव नहीं है; यह केवल device driver के माध्यम से ही किया जा सकता है।

Windows Driver Model (WDM) और WinRing0

• SMBus के जरिए hardware को नियंत्रित करने के लिए ring 0 पर चलने वाला kernel-mode driver आवश्यक है।
• kernel-mode driver के लिए उच्च स्तर की security ज़रूरी होती है, इसलिए उस पर EV (Extended Validation) digital signature होना चाहिए, और Microsoft द्वारा समीक्षा के बाद driver signing की प्रक्रिया पूरी करनी होती है।
• यह प्रक्रिया कठिन और महंगी होने के कारण peripheral manufacturers ने WinRing0 के जरिए इसे bypass करना शुरू किया।
• WinRing0, CrystalDiskMark के निर्माता Miyazaki Noriyuki द्वारा 2007 में विकसित किया गया driver और library है, जो application level पर ring 0 में मौजूद कई हिस्सों को application layer के सामने expose करता है।
• peripheral manufacturers ने WinRing0 के जरिए application layer से ring 0 तक सीधे पहुँच बनाकर hardware control करने वाले software तैयार किए।
• लगता है कि WinRing0 पर Windows driver certification process कड़ी होने से पहले cross-signing के माध्यम से digital signature किया गया था।
• इसके निर्माता ने कहा था कि WinRing0 को low-level programming को explore करने के लिए एक तरह के toy project के रूप में बनाया गया था, लेकिन जब इसके वास्तविक products में उपयोग के मामले बढ़ते गए, तो 2010 में उन्होंने इसका उपयोग न करने की सलाह देते हुए development बंद कर दिया।
• लेकिन open source की प्रकृति के कारण, developer द्वारा maintenance बंद करने के बाद भी यह लगातार distribute होता रहा और कई जगहों पर इस्तेमाल किया जाता रहा।

WinRing0 के security risks

• WinRing0 का उद्देश्य ही kernel द्वारा प्रबंधित क्षेत्रों को application layer के सामने सीधे expose करना है, इसलिए इसका अर्थ है कि यह OS की मूलभूत सुरक्षा को निष्प्रभावी कर सकता है, और इसे लेकर लंबे समय से चिंता जताई जाती रही है।
• इससे संबंधित कई CVE दर्ज किए गए हैं (CVE-2019-6333, CVE-2020-14979, CVE-2021-44901)।
• credit card number, browsing history, browser cookies आदि की चोरी करने वाले "SteelFox" malware द्वारा इसके उपयोग जैसे वास्तविक हमलों के मामले भी सामने आए हैं।
• सिर्फ WinRing0 को सीधे उपयोग करने वाले software ही नहीं, बल्कि OpenHardwareMonitor (https://github.com/openhardwaremonitor/openhardwaremonitor) और LibreHardwareMonitor (https://github.com/LibreHardwareMonitor/LibreHardwareMonitor) के जरिए अप्रत्यक्ष रूप से WinRing0 पर निर्भर बड़ी संख्या में software भी इससे प्रभावित हैं।
  • HP का Touchpoint Analytics software OpenHardwareMonitor का उपयोग करता था, इसलिए 2019 में बाज़ार में उपलब्ध HP के लगभग सभी laptop प्रभावित हुए थे।
• 11 मार्च 2025 को Microsoft ने सभी WinRing0 drivers को block करने का कदम उठाया।

निर्माताओं की प्रतिक्रिया

• WinRing0 की security vulnerabilities को लेकर चिंताएँ काफ़ी पहले से उठती रही हैं, और इससे संबंधित patches पहले ही बनाए जा चुके थे।
  • लेकिन updated driver distribute करने के लिए signing process की आवश्यकता होने के कारण patches जारी नहीं किए जा सके।
  • इसके अलावा, कुछ लोगों का कहना है कि patch में केवल इतना बदलाव था कि driver तक पहुँच केवल administrator permissions में ही हो सके, इसलिए इससे मूल security vulnerability का समाधान नहीं होता।
• Razer और SignalRGB ने WinRing0 dependency हटाने वाले updates जारी किए।
• CapFrameX जैसे कुछ software ने users को सलाह दी कि वे Windows Defender में उन programs को exception के रूप में जोड़ें।
• Hyte Nexus के निर्माता iBuyPower ने कहा कि वह patched WinRing0 के लिए signing process खुद पूरा करके उसे distribute करने को तैयार है, लेकिन Microsoft से अब तक कोई विशेष जवाब नहीं मिला है।
• Steelseries ने अपने software से system monitoring feature हटा दिया।

अन्य मुद्दे

• WinRing0 मूल रूप से जोखिमभरा software है, लेकिन इसका विकल्प न होने के कारण खासकर third-party app developers के बीच चिंता देखी जा रही है।
  • उदाहरण के लिए, Fan Control और OpenRGB जैसे third-party apps के पास WinRing0 के बिना hardware से communication करने का कोई तरीका नहीं है।
  • इसकी एक वजह यह है that WinRing0 open source होने के साथ-साथ signed भी है, जो एक दुर्लभ मामला है।
• Windows driver certification process के बोझ को लेकर भी राय सामने आई है।
  • EV signature महंगा होता है और उसे समय-समय पर renew भी करना पड़ता है, इसलिए यह अतिरिक्त बोझ बनता है।