WinRing0: Mengapa Windows mulai menganggap berbagai aplikasi pemantauan PC sebagai malware

• Mulai 11 Maret 2025, banyak pengguna PC di seluruh dunia mulai menerima peringatan malware dari Windows Defender, aplikasi antivirus bawaan Windows.
• Sumber peringatan malware tersebut sebagian besar adalah perangkat lunak untuk kontrol PC, termasuk Razer Synapse, SteelSeries Engine, dan MSI Afterburner.
• Terungkap bahwa kesamaan dari perangkat lunak tersebut adalah semuanya menggunakan pustaka bernama WinRing0.

Model keamanan OS modern

• Sistem operasi mengadopsi struktur "protection ring" untuk melindungi sistem. Ada Ring 0 hingga 3, tetapi pada OS modern yang digunakan hanya 0 dan 3.
• Ring 0 adalah area kernel yang memungkinkan akses langsung tanpa batas ke seluruh bagian komputer seperti perangkat keras, memori, dan register CPU.
• Ring 3 adalah area aplikasi, tempat semua program aplikasi umum selain perangkat lunak sistem berjalan.
• Ring yang lebih luar dirancang agar tidak dapat melihat ring yang lebih dalam, dan untuk mengakses area kernel dari area aplikasi diperlukan device driver.

Kondisi pasar periferal PC saat ini

• Seiring persaingan di pasar periferal PC makin ketat, produsen semakin sering menyediakan perangkat lunak khusus untuk membedakan fitur produknya.
  • Misalnya, pada pendingin CPU, kecepatan kipas dapat dikendalikan langsung berdasarkan suhu CPU, dan pengaturannya bisa dilakukan melalui perangkat lunak.
• Banyak perangkat keras dirancang untuk berkomunikasi dengan sistem operasi melalui protokol bernama SMBus (System Management Bus).
• Namun, akses ke SMBus pada level aplikasi tidak dimungkinkan dan hanya bisa dilakukan melalui device driver.

Windows Driver Model (WDM) dan WinRing0

• Untuk mengendalikan perangkat keras melalui SMBus, dibutuhkan kernel-mode driver yang berjalan di ring 0.
• Karena kernel-mode driver menuntut tingkat keamanan yang tinggi, driver harus memiliki tanda tangan elektronik EV (Extended Validation), dan diperlukan proses peninjauan langsung oleh Microsoft sebelum driver tersebut ditandatangani secara digital.
• Karena proses ini rumit dan mahal, produsen periferal mulai mengakalinya melalui WinRing0.
• WinRing0 adalah driver dan pustaka yang dikembangkan pada 2007 oleh Miyazaki Noriyuki, pembuat CrystalDiskMark, dan berfungsi mengekspos berbagai bagian yang berada di ring 0 ke layer aplikasi.
• Produsen periferal membuat perangkat lunak dengan cara mengakses ring 0 secara langsung dari layer aplikasi melalui WinRing0 untuk mengendalikan perangkat keras.
• WinRing0 tampaknya ditandatangani secara digital melalui cross-signing sebelum proses sertifikasi driver Windows diperketat.
• Pembuatnya menyatakan bahwa WinRing0 dibuat sebagai semacam proyek mainan untuk mengeksplorasi pemrograman level rendah, tetapi karena terus muncul kasus penerapannya pada produk nyata, pada 2010 ia menghentikan pengembangannya sambil menyarankan agar pustaka itu tidak lagi digunakan.
• Namun, karena sifat open source, perangkat lunak ini terus didistribusikan dan dipakai di banyak tempat bahkan setelah pengembangnya berhenti merawatnya.

Ancaman keamanan WinRing0

• Karena tujuan WinRing0 adalah mengekspos area yang seharusnya dikelola oleh kernel apa adanya ke layer aplikasi, hal ini pada dasarnya berarti menonaktifkan fondasi keamanan OS, dan kekhawatiran terkait hal ini sudah lama disuarakan.
• Sejumlah CVE telah didaftarkan terkait hal ini (CVE-2019-6333, CVE-2020-14979, CVE-2021-44901).
• Ada pula kasus serangan nyata, misalnya malware "SteelFox" yang diketahui mencuri nomor kartu kredit, riwayat penelusuran, dan cookie browser memanfaatkan ini.
• Bukan hanya perangkat lunak yang memakai WinRing0 secara langsung, tetapi juga banyak perangkat lunak yang secara tidak langsung bergantung pada WinRing0 melalui OpenHardwareMonitor (https://github.com/openhardwaremonitor/openhardwaremonitor) dan LibreHardwareMonitor (https://github.com/LibreHardwareMonitor/LibreHardwareMonitor) ikut terdampak.
  • Karena perangkat lunak Touchpoint Analytics milik HP menggunakan OpenHardwareMonitor, semua laptop HP yang beredar di pasaran saat itu terdampak pada 2019.
• Pada 11 Maret 2025, Microsoft mengambil langkah memblokir seluruh driver WinRing0.

Respons para produsen

• Kekhawatiran atas kerentanan keamanan WinRing0 sudah disampaikan sejak lama, dan patch terkait sebenarnya sudah dibuat.
  • Namun, untuk mendistribusikan driver yang telah diperbarui diperlukan proses penandatanganan digital, sehingga patch tersebut belum bisa didistribusikan.
  • Selain itu, ada kritik bahwa isi patch hanya sebatas mengubah agar driver hanya dapat diakses dengan hak administrator, sehingga tidak menyelesaikan kerentanan keamanan mendasar.
• Razer dan SignalRGB telah merilis pembaruan yang menghapus ketergantungan pada WinRing0.
• Beberapa perangkat lunak seperti CapFrameX menyarankan pengguna untuk menambahkan program tersebut ke daftar pengecualian di Windows Defender.
• iBuyPower, pembuat Hyte Nexus, menyatakan bersedia menjalankan sendiri proses penandatanganan digital untuk WinRing0 yang telah ditambal dan mendistribusikannya, tetapi mengatakan bahwa mereka belum menerima tanggapan berarti dari Microsoft.
• Steelseries menghapus fitur pemantauan sistem dari perangkat lunaknya.

Poin-poin lain

• Ada kekhawatiran terutama dari pengembang aplikasi pihak ketiga bahwa meskipun WinRing0 pada dasarnya berbahaya, tidak ada pengganti yang setara.
  • Misalnya, aplikasi pihak ketiga seperti Fan Control dan OpenRGB tidak memiliki cara untuk berkomunikasi dengan perangkat keras tanpa WinRing0.
  • Ini berasal dari fakta bahwa WinRing0 adalah kasus langka: open source sekaligus sudah ditandatangani.
• Ada pula pendapat mengenai beban dari proses sertifikasi driver Windows.
  • Tanda tangan EV mahal dan harus diperbarui secara berkala, sehingga menimbulkan beban tersendiri.