03.10.2025, 01:02
Sprache ändern
Registrieren
Anmelden
Sie sind nicht angemeldet.
- 1
- 2
Shoggy
Sven - Admin
Informationen zu Windows Defender Warnung "HackTool:Win32/Winring0" (AquaComputerService.sys)
Mittwoch, 12. März 2025, 11:39
Der Windows Defender sowie auch andere Anti-Viren-Software erkennt (immer wieder mal) die Datei AquaComputerService.sys als Gefahr bzw. Virus.
Es handelt sich hierbei nicht um einen Virus!
Diese Datei ist ein signierter Open Source Treiber (WinRing0), den die aquasuite seit vielen Jahren für das Hardware Monitoring nutzt (z. B. CPU Temperatur). Der exakt gleiche Treiber wird auch von zahlreichen anderen weitaus populäreren Programmen bzw. Firmen verwendet.
Bei diesem Treiber ist bereits seit längerer Zeit eine Sicherheitslücke (CVE-2020-14979) bekannt. Das Problem besteht darin, dass dem Treiber ein Sicherheitsdeskriptor fehlt und er mit Benutzerrechten aufgerufen werden kann. Da der Treiber tiefgreifenden Zugriff auf das System hat, ist es möglich, dass Malware den Treiber ausnutzt um sich Systemrechte zu verschaffen und bösartigen Code auszuführen.
Die aquasuite wendet versionsunabhängig bei der Installation des Treibers einen Sicherheitsdeskriptor an, der den Zugriff auf System- und Admin-Rechte beschränkt. Nach aktuellem Wissensstand und eigenen Tests ist das beschriebene Angriffsszenario so nicht mehr umsetzbar.
Bitte beachten: Installiert irgendeine andere Anwendung bereits vor der aquasuite den Treiber ohne einen entsprechenden Sicherheitsdeskriptor, dann ist der Treiber angreifbar. Dies ist in dem Fall ein Versäumnis der entsprechenden Anwendung.
Wir arbeiten bereits an einer Lösung indem wir eine eigene angepasste Version des Treibers erstellen und bei Microsoft zertifizieren lassen. Dies ist allerdings ein komplexer Prozess und wird daher noch etwas Zeit in Anspruch nehmen. Hauptproblem ist dabei vor allem die Verifizierung unseres Unternehmens im Microsoft Partner Center. Diesen Prozess hat Microsoft im vergangenen Jahr auf ein KI-gestütztes System umgestellt und seither funktioniert da nichts mehr richtig. Es gibt zahlreiche Berichte, dass Firmen mehrere Monate warten mussten ehe sie freigeschaltet wurden. Microsoft sind die Probleme bekannt und vetröstet ebenso seit Monaten diese zu lösen...
Wer in der Nutzung weiterhin kein Problem sieht kann den Treiber als Ausnahme definieren. Um zu verhindern, dass der Windows Defender temporäre Dateien des Treibers ankreidet, kann man die Datei AquaComputerService.sys in den Datei-Eigenschaften auf schreibgeschützt setzen. Dadurch wird der Treiber nicht mehr bei jedem Start neu angelegt.
Alternativ kann man in der aquasuite über den Reiter aquasuite -> Hintergrunddienst alle Hardware Monitor Module deaktivieren. Dadurch wird der entsprechende Treiber von der aquasauite nicht mehr geladen. Systemdaten können bei Bedarf weiterhin über HWiNFO oder AIDA64 in die aquasuite übernommen werden.
Es handelt sich hierbei nicht um einen Virus!
Diese Datei ist ein signierter Open Source Treiber (WinRing0), den die aquasuite seit vielen Jahren für das Hardware Monitoring nutzt (z. B. CPU Temperatur). Der exakt gleiche Treiber wird auch von zahlreichen anderen weitaus populäreren Programmen bzw. Firmen verwendet.
Bei diesem Treiber ist bereits seit längerer Zeit eine Sicherheitslücke (CVE-2020-14979) bekannt. Das Problem besteht darin, dass dem Treiber ein Sicherheitsdeskriptor fehlt und er mit Benutzerrechten aufgerufen werden kann. Da der Treiber tiefgreifenden Zugriff auf das System hat, ist es möglich, dass Malware den Treiber ausnutzt um sich Systemrechte zu verschaffen und bösartigen Code auszuführen.
Die aquasuite wendet versionsunabhängig bei der Installation des Treibers einen Sicherheitsdeskriptor an, der den Zugriff auf System- und Admin-Rechte beschränkt. Nach aktuellem Wissensstand und eigenen Tests ist das beschriebene Angriffsszenario so nicht mehr umsetzbar.
Bitte beachten: Installiert irgendeine andere Anwendung bereits vor der aquasuite den Treiber ohne einen entsprechenden Sicherheitsdeskriptor, dann ist der Treiber angreifbar. Dies ist in dem Fall ein Versäumnis der entsprechenden Anwendung.
Wir arbeiten bereits an einer Lösung indem wir eine eigene angepasste Version des Treibers erstellen und bei Microsoft zertifizieren lassen. Dies ist allerdings ein komplexer Prozess und wird daher noch etwas Zeit in Anspruch nehmen. Hauptproblem ist dabei vor allem die Verifizierung unseres Unternehmens im Microsoft Partner Center. Diesen Prozess hat Microsoft im vergangenen Jahr auf ein KI-gestütztes System umgestellt und seither funktioniert da nichts mehr richtig. Es gibt zahlreiche Berichte, dass Firmen mehrere Monate warten mussten ehe sie freigeschaltet wurden. Microsoft sind die Probleme bekannt und vetröstet ebenso seit Monaten diese zu lösen...
Wer in der Nutzung weiterhin kein Problem sieht kann den Treiber als Ausnahme definieren. Um zu verhindern, dass der Windows Defender temporäre Dateien des Treibers ankreidet, kann man die Datei AquaComputerService.sys in den Datei-Eigenschaften auf schreibgeschützt setzen. Dadurch wird der Treiber nicht mehr bei jedem Start neu angelegt.
Alternativ kann man in der aquasuite über den Reiter aquasuite -> Hintergrunddienst alle Hardware Monitor Module deaktivieren. Dadurch wird der entsprechende Treiber von der aquasauite nicht mehr geladen. Systemdaten können bei Bedarf weiterhin über HWiNFO oder AIDA64 in die aquasuite übernommen werden.
-=:Cpt.Nemo:=-
Newbie
Donnerstag, 4. September 2025, 07:56
Hallo Shoggy,
leider kommt die Warnmeldung wieder mit dem neuen Windowsdefender update unter Windows10.
https://imgur.com/a/2HCZiKv
leider kommt die Warnmeldung wieder mit dem neuen Windowsdefender update unter Windows10.
https://imgur.com/a/2HCZiKv
-=:Cpt.Nemo:=-
Newbie
Donnerstag, 4. September 2025, 17:10
Direkt schon getan, wollte es Euch nur mitteilen. Zudem scheint FanControl auch davon betroffen zu sein, siehe: https://github.com/Rem0o/FanControl.Releases/issues/3410Dann musst du den Treiber manuell im Defender auf die Ausnahmeliste nehmen.
LiniXXus
Junior Member
Samstag, 6. September 2025, 11:56
Ist heute bei mir auch passiert.
Habe mal folgendes ausgeschlossen und seither ist nichts mehr blockiert worden.
Wobei in meinem Fall nur die Temperaturen des Systems, VRM und PCH betroffen waren, die von meinem Mainboard ausgelesen werden.
Habe mal nachgeschaut, die ausgeschlossene SYS Datei ist jetzt auch wieder im Verzeichnis vorhanden.
Mit dem ausschließen scheint bei mir funktioniert zu haben.
Mal sehen, ob es so bleibt.
EDIT: Wahrscheinlich reicht es bereits aus, das komplette Aquasuite Verzeichnis auszuschließen.
Habe mal folgendes ausgeschlossen und seither ist nichts mehr blockiert worden.
Wobei in meinem Fall nur die Temperaturen des Systems, VRM und PCH betroffen waren, die von meinem Mainboard ausgelesen werden.
Habe mal nachgeschaut, die ausgeschlossene SYS Datei ist jetzt auch wieder im Verzeichnis vorhanden.
Mit dem ausschließen scheint bei mir funktioniert zu haben.
Mal sehen, ob es so bleibt.
EDIT: Wahrscheinlich reicht es bereits aus, das komplette Aquasuite Verzeichnis auszuschließen.
LiniXXus
Junior Member
Samstag, 6. September 2025, 18:47
Ist wohl noch nicht ganz erledigt.
Heute Abend nach dem Hochfahren des Rechners fehlten in der Übersichtsseite wieder Werte.
Auf diesem Screenshot sind sie mit dabei.
Aber ich merke, wenn der Defender seine Finger im Spiel hat, wenn in der Markierung nichts ausgeben wird.
Anscheint, hat er wegen einer TMP-Datei jetzt gemeckert.
Habe den Defender deaktiviert, die Aquasuite mit Adminrechte neu gestartet und dann den Hintergrunddienst beendet und neu gestartet. Danach ist wieder alles mit dabei gewesen und im Anschluss habe ich den Defender wieder aktiviert. Seither wird nichts ausgeschlossen und es wird weiterhin alles ausgegeben. Selbst nach einem Neustart des Rechners. Also momentan habe ich nichts unternommen, da ich schlecht das komplette SystemTemp Verzeichnis ausschließen kann.
Heute Abend nach dem Hochfahren des Rechners fehlten in der Übersichtsseite wieder Werte.
Auf diesem Screenshot sind sie mit dabei.
Aber ich merke, wenn der Defender seine Finger im Spiel hat, wenn in der Markierung nichts ausgeben wird.
Anscheint, hat er wegen einer TMP-Datei jetzt gemeckert.
Habe den Defender deaktiviert, die Aquasuite mit Adminrechte neu gestartet und dann den Hintergrunddienst beendet und neu gestartet. Danach ist wieder alles mit dabei gewesen und im Anschluss habe ich den Defender wieder aktiviert. Seither wird nichts ausgeschlossen und es wird weiterhin alles ausgegeben. Selbst nach einem Neustart des Rechners. Also momentan habe ich nichts unternommen, da ich schlecht das komplette SystemTemp Verzeichnis ausschließen kann.
- 1
- 2
Ähnliche Themen
-
English forum »-
Hacktool in AquaComputerService.sys
(11. März 2025, 10:30)
-
- Überwachung und Steuerung »
-
AquaComputerService.sys als HackTool:Win32/Winring0 erkannt
(11. März 2025, 18:38)
-
- Überwachung und Steuerung »
-
Aquasuite HackTool:Win32/Winring0
(12. März 2025, 07:53)