Microsoft Defender estää Fan Control tuuletinapuohjelman toiminnan

[bsh]

Microsoft Defender on alkanut estämään Fan Controlin (Fan Control - A highly focused fan controlling software for Windows) käyttämän vapaan lähdekoodin LibreHardwareMonitorin (GitHub - LibreHardwareMonitor/LibreHardwareMonitor: Libre Hardware Monitor is free software that can monitor the temperature sensors, fan speeds, voltages, load and clock speeds of your computer.) toiminnan. Tämä johtuu LibreHardwareMonitorin käyttämästä allekirjoittamattomasta Winring0 ajurista, jonka toiminta on tästä päivästä eteenpäin päätetty oletusarvoisesti estää. Ajuri antaa hyvin laajat oikeudet järjestelmään, joten sinänsä allekirjoittamattoman ajurin estäminen on perusteltua.

Fan Controlin tai LibreHardwareMonitorin kehittäjällä ei ole nopeaa ratkaisua ongelmaan, sillä se vaatisi todennäköisesti uuden ajurin kirjoittamista ja sen saamista allekirjoitetuksi Microsoftin toimesta.

Lähteet:

FanControl tracked as virus by Windows Defender - HackTool:Win32/Winrun0 · Issue #3016 · Rem0o/FanControl.Releases

If you are experiencing a crash Link the relevant/associated Windows EventViewer logs, and also FanControl's own log.txt. The R0FanControl service failed to start due to the following error: Operat...

github.com

WinRing0 get's blocked by Avast/AVs · Issue #984 · LibreHardwareMonitor/LibreHardwareMonitor

There's a CVE for WinRing0 https://www.cvedetails.com/cve/CVE-2020-14979/ See also https://posts.specterops.io/cve-2020-14979-local-privilege-escalation-in-evga-precisionx1-cf63c6b95896 @PhyxionNL ...

github.com

 

[El_Saam]

Tuli vastaan eilen ja olin hämmennyksessä, kun Defender ei juurikaan melkein ikinä tule esille.

 

[escalibur]

Luultavasti MSI Afterburner kokee saman kohtalon. FanControl ja Afterburner ovat kenties ainoita softia miksi esim rajoitetut tilin käyttäminen Windowsissa on haastavaa. Kumpikin softa nojaa tuontyyppiseen ajuritiedostoon jota ei voida ajaa rajoitetulla tilillä. Toistaiseksi kukaan ei tietääkseni ole keksinyt tapaa käyttää noita rajoitetulla tilillä siten että softia ajetaan järjestelmävalvojan tilillä. FanControlilla oli tulossa tapa ajaa softaa Windows Servicena, mutta tietääkseni koko ominaisuus ei vielä ole ilmestynyt.

 

[bsh]

Luultavasti MSI Afterburner kokee saman kohtalon. FanControl ja Afterburner ovat kenties ainoita softia miksi esim rajoitetut tilin käyttäminen Windowsissa on haastavaa. Kumpikin softa nojaa tuontyyppiseen ajuritiedostoon jota ei voida ajaa rajoitetulla tilillä. Toistaiseksi kukaan ei tietääkseni ole keksinyt tapaa käyttää noita rajoitetulla tilillä siten että softia ajetaan järjestelmävalvojan tilillä. FanControlilla oli tulossa tapa ajaa softaa Windows Servicena, mutta tietääkseni koko ominaisuus ei vielä ole ilmestynyt.

Ainakin uusimman Afterburnerin käynnistäminen kysyy, että hyväksytäänkö MSI:n allekirjoittama ajuri. Eli Afterburner ei ainakaan tuota allekirjoittamatonta open source Winring0 ajuria taida käyttää. Toki se vaatii myös low level pääsyn raudalle, mutta MSI on käsittääkseni tehnyt siihen omat ajurit, jolloin Microsoft Defenderin ei sitä pitäisi kai alkaa blokkaamaan yhtä innokkaasti.

Täällä myös keskustelua aiheesta: Fancontrol - hyvä tuulettimien ohjaussofta . Ollut tosi näppärä ohjelma tuo Fan Control ja veikkaan, että hyvin monella tämänkin foorumin käyttäjistä käytössä.

 

[bsh]

Hmm. Fan Controlin issuella oli viimeisimpänä tietona, että Defender ei enää estä toimintaa. Näin näyttää ainakin täällä olevan. Eli nyt ohjelma käynnistyy ilman virheitä (toki pitää tuo allekirjoittamaton ajuri sallia UAC:ssä) Näinköhän on, että Microsoft vielä peruutti Winring0 ajurin estämisen, koska se on käytössä niin monessa eri paikassa. Käsittääkseni kaupallisten toimijoidenkin sovelluksissa.

 

[bsh]

Täällä vielä hyvä yhteenveto aiheesta (englanniksi):

Reddit - Dive into anything

www.reddit.com

Ja tämän mukaan asia koskee/on koskenut aika montaa muutakin ohjelmistoa:

[Update] FanControl (and other different monitoring software) blocked by Defender due to Winring0 vulnerability

https://github.com/Rem0o/FanControl.Releases/issues/3016 Looks like a bunch of other monitoring software got affected by this after the latest Defender definition update. Some detailed explanation: So far confirmed for: - FanControl - Steelseries GG - PBO2 Tuner - Gigabyte Aurora and...

www.techpowerup.com

Spoileri

So far confirmed for:
- FanControl
- Steelseries GG
- PBO2 Tuner
- Gigabyte Aurora and RGBFusion software
- Open Hardware Monitor
- Sidebar Diagnostics

Ja samassa paikassa myös kommentti siitä, että Microsoft on ilmeisesti perunut jotain:

Update:
Checked after work, it looks like MS has run some sort of background definition update and Defender is no longer flagging this as malicious. Here's hoping FanControl dev will actually work on switching to alternative library that doesn't use the unsigned driver.

 

[Seppo77]

Miksi ihmeessä jonkun tuuletinohjelman ajurien pitää saada hyvin laajat oikeudet järjestelmään?

 

[Jarnis]

Todennäköisesti koska Windows ei tue näitä juttuja suoraan ja emolevyn raudan käpistely rekisteritasolla vaatii kernel-ajurin.

Oikeasti tämä pitäisi toteuttaa niin että jokainen emolevyvalmistaja toteuttaa tuuletinhallinnan ja kaiken maailman hardismonitoroinnin standardinmukaisesti systeemillä jota Windows tukee, toimittaen tarvittavat, allekirjoitetut ajurit. Ja sitten softat vain käyttävät tuettuja Windowsin API-kutsuja ihan user-tasolta.

Mutta Microsoftia tämä ei kiinnosta tarpeeksi ja emovalmistajilla on järjestään omat keitokset joita sitten kolmannen osapuolen softat käyttävät parhaansa mukaan ja tämä järjestään vaatii todella alhaisen tason rautakäpistelyä.

 

[BoomerX]

Todennäköisesti koska Windows ei tue näitä juttuja suoraan ja emolevyn raudan käpistely rekisteritasolla vaatii kernel-ajurin.

Oikeasti tämä pitäisi toteuttaa niin että jokainen emolevyvalmistaja toteuttaa tuuletinhallinnan ja kaiken maailman hardismonitoroinnin standardinmukaisesti systeemillä jota Windows tukee, toimittaen tarvittavat, allekirjoitetut ajurit. Ja sitten softat vain käyttävät tuettuja Windowsin API-kutsuja ihan user-tasolta.

Mutta Microsoftia tämä ei kiinnosta tarpeeksi ja emovalmistajilla on järjestään omat keitokset joita sitten kolmannen osapuolen softat käyttävät parhaansa mukaan ja tämä järjestään vaatii todella alhaisen tason rautakäpistelyä.

RGB ohjaus toimii nykyään kivasti suoraan windowsin asetuksista.

tekis nyt vielä saman tuuletin asetuksille

 

[joonas#79]

Ongelma vaikuttaa olevan laajempi. Asuksen Armory Crate tuli juuri jokin isompi päivitys ja samalla FanXpert lakkasi toimimasta. Error code H-2004 alkuun ja kun asensin koko softan uusiksi virheilmoitus vaihtui Error Code 4171. FanXpertin kun avaa tulee vaan kasa row_xxx ilmoituksia. Ystävällisesti appis pyysi lähettämään error login Asukselle. Muilla samoja ongelmia?

Tuo Armory Crate on muutenkin kyllä ehkä huonoiten tehty applikaatio. Hidas ja aina pakollisia päivityksiä.

Edit: Emo Asuksen Z790 pohjainen

 

[bsh]

Ongelma vaikuttaa olevan laajempi. Asuksen Armory Crate tuli juuri jokin isompi päivitys ja samalla FanXpert lakkasi toimimasta. Error code H-2004 alkuun ja kun asensin koko softan uusiksi virheilmoitus vaihtui Error Code 4171. FanXpertin kun avaa tulee vaan kasa row_xxx ilmoituksia. Ystävällisesti appis pyysi lähettämään error login Asukselle. Muilla samoja ongelmia?

Käsittääkseni Asuksen fax-expert tulee AI Suite nimisen Asuksen paketin mukana. Ei siis Armoury Cratessa. Uusimmalla Armoury Cratella ei omalla emolla näyttänyt saavan säädettyä tuulettimia kuin neliportaisella (silent, normal, high, turbo tms) asteikolla.

Päädyin itse poistamaan sekä Armoury Craten että AI Suiten asennuksen ja hankkimaan Argus Monitor tuuletinsäätöohjelman lisenssin. Armoury Cratea olisin tarvinnut vain näppäimistön valojen säätöön (ei oleellista minulle) ja AI Suite näytti vaativan Windowsin memory integrity tietoturvaominaisuuden kytkemistä pois päältä. Ilmeisesti jos ajaa virtualisointia Windowsin päällä (esim. Windows Subsystem for Linux, WSL) ja prosessorin virtualisointiominaisuudet on kytketty päälle tuo memory integrity on mahdollista, ja Windowsin security centerin mukaan oleellista, laittaa päälle.

Kannattaa kuitenkin tsekata, että on uusin versio AI Suitesta asennettuna. Oman emon (ROG STRIX B550-F GAMING (WI-FI)) ajurisivuilla se oli vähän piilotettuna laajennettavan Utilities-sektion see all downloads linkin taakse. Ilmeisesti myös emon versiosta riippuen tuo paketti sisältää vähän eri asioita.

 

[Tiihokatti]

WinRing0: Why Windows is flagging your PC monitoring and fan control apps as a threat

Is it dangerous? What happens next?

www.theverge.com

iBuyPower on tuomassa WinRing0 päivityksen ja allekirjoitetut ajurit. Koska heidänkin Hyte Nexus ohjelmisto käyttää kyseistä ajuria toimiakseen.

Ja ennen kuin alkaa kärpäslätkällä lätkimään Fancontrolin pois koneelta niin kannattaa pysähtyä miettimään että onko siellä koneella tusina muutakin ohjelmaa mikä käyttää WinRing0 ajureita toimiakseen. Steelseries, Razer ynnä muut on kaikissa aikaisemmissa ohjelmistopaketeissaan käyttäneet WinRing0 ajureita ja ovat vasta hiljattain alkaneet siirtymään pois sen piiristä.
Eli jos koneella on yhtään vanhempi Razer Synapse ohjelmisto niin sielläkin on WinRing0 sisällä lymyilemässä.

 

[joonas#79]

Käsittääkseni Asuksen fax-expert tulee AI Suite nimisen Asuksen paketin mukana. Ei siis Armoury Cratessa. Uusimmalla Armoury Cratella ei omalla emolla näyttänyt saavan säädettyä tuulettimia kuin neliportaisella (silent, normal, high, turbo tms) asteikolla.

Päädyin itse poistamaan sekä Armoury Craten että AI Suiten asennuksen ja hankkimaan Argus Monitor tuuletinsäätöohjelman lisenssin. Armoury Cratea olisin tarvinnut vain näppäimistön valojen säätöön (ei oleellista minulle) ja AI Suite näytti vaativan Windowsin memory integrity tietoturvaominaisuuden kytkemistä pois päältä. Ilmeisesti jos ajaa virtualisointia Windowsin päällä (esim. Windows Subsystem for Linux, WSL) ja prosessorin virtualisointiominaisuudet on kytketty päälle tuo memory integrity on mahdollista, ja Windowsin security centerin mukaan oleellista, laittaa päälle.

Kannattaa kuitenkin tsekata, että on uusin versio AI Suitesta asennettuna. Oman emon (ROG STRIX B550-F GAMING (WI-FI)) ajurisivuilla se oli vähän piilotettuna laajennettavan Utilities-sektion see all downloads linkin taakse. Ilmeisesti myös emon versiosta riippuen tuo paketti sisältää vähän eri asioita.

Homma taisi selvitä. Muutin hiljattain tuulettimien konfista ja joka sitten todennäköisesti jumitti tuon appiksen. Kunhan kävi BIOS ensin vetämässä nämä tuulettimet manual modessa pois käytöstä (0rpm) ja sen jälkeen käynnisti applikaation homma rokkasi. Mahdollisesti siitä syystä että vaihdoin 1200rpm ja 2000rpm paikat ja ehkä sitten kierrosluvun rajat ylittyi/alittui ja jokin jumiin softassa. Kunhan appis käynnistyi BIOS säädön jälkeen ja ajoi uudelleen FanXpert "auto tuning" kaikki vaikuttaa olevan ok. Sinänsä ihmeellinen juttu kun kyllähän tuulettimia nyt vaihdellaan eikä muutosten pitäisi totaalista jumia aiheuttaa.

Tämä uutinen hämäsi tässä sopivasti

Virheilmoitus