Afterburner, Capframe X und Co.: Windows warnt vor Monitoring-Tools
Zahlreiche Monitoring-Tools wie Capframe X und MSI Afterburner wurden in den letzten Tagen vom Windows Defender beanstandet. Ein Kernel-Treiber namens Winring0 wird als Bedrohung eingestuft - dieser ist für viele Tools aber alternativlos.
In den vergangenen Tagen wurden zahlreiche Spieler von einer Meldung des Windows Defenders überrascht. Viele gängige Monitoring-Tools werden seitdem als Bedrohung erkannt. Ursache ist ein darin enthaltener Kernel-Treiber namens Winring0. Passend dazu bekommen betroffene Nutzer als Ursache HackTool:Win32/Winring0 angezeigt.
Alternativlos
Der Winring-Treiber bietet Programmen die Möglichkeit, auf Hardware-Funktionen wie interne Signalleitungen oder die PCI-E-Schnittstellen zuzugreifen. Auf ebendieser Funktionalität bauen betroffene Programme auf. Berichte über entsprechende Warnmeldung gibt es inzwischen mindestens zu den Tools MSI Afterburner, Crapframe X, OpenRGB, Libre Hardware Monitor, OmenMon, FanCtrl, ZenTimings und Panorama9. Wenig Begeisterung dürfte zudem bei den Unternehmen Razer und Steelseries herrschen, denn die Programme Synapse und Engine werden offenbar ebenso als Bedrohung erkannt.
Manche der Entwickler reagierten bereits mit einer Entfernung des Kernel-Treibers und deaktivierten darauf aufbauende Funktionen, für andere Programme ist die Nutzung des direkten Hardware-Zugriffs aber alternativlos. Zwar gibt es mit InpOutX64 einen anderen Treiber mit ähnlichem Funktionsumfang, dieser wird aber inzwischen ebenso als Bedrohung erkannt.
Eine akute Bedrohung ist Winring0 dabei offenbar nicht, der Treiber hat aber mindestens eine offene Sicherheitslücke, die Microsoft - zusammen mit dem weitgehenden Hardware-Zugriff - wohl zur Sperrung bewegt hat. Betroffene Nutzer können zwar im Windows Defender eine Ausnahme hinzufügen und damit den Weiterbetrieb ermöglichen. Die offene Sicherheitslücke bleibt dadurch aber natürlich bestehen.
Auch spannend: Windows Patchday März 2025: Kritische Sicherheitsupdates dringend empfohlen
Ein Fix wäre dabei offenbar durchaus möglich, scheitert aber an den Kosten. Denn der aktualisierte Treiber müsste von Microsoft signiert werden. Immerhin: Der PC-Anbieter iBuyPower plant offenbar, die Signierung zu bezahlen und Winring0 damit wieder für alle nutzbar zu machen. Voraussetzung dafür ist aber, dass Microsoft dem auch stattgibt. Und bis es so weit ist, werden viele gängige Hardware-Monitoring-Tools von Windows wohl weiterhin als Bedrohung erkannt.
Hat der Windows Defender bei Ihnen jüngst ein Programm beanstandet? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.
Quelle: Deskmodder / The Verge via Golem
Kein Plan was da bei manchen ständig schief läuft.
Wenn man den Unsinn im Defender freigibt, funzen die Tools auch wieder.
Ein Lösung ohne Winring0 wäre doch eleganter. Wozu braucht es genau diesen Treiber?
Zum Thema:
Wenn man den Unsinn im Defender freigibt, funzen die Tools auch wieder.