勒索软件团伙利用 Paragon 分区管理器漏洞发动 BYOVD 攻击

微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞，其中一个被勒索软件团伙利用进行零日攻击，以在 Windows 系统中获取 SYSTEM 权限。

这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”（BYOVD）攻击，威胁行为者将内核驱动程序放到目标系统上以提升权限。

“具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务（DoS）场景，”CERT/CC 的警告中解释道。

“此外，由于攻击涉及一个微软签名的驱动程序，攻击者可以利用自带易受攻击驱动程序（BYOVD）技术来利用系统，即使未安装 Paragon 分区管理器。”

由于 BioNTdrv.sys 是内核级驱动程序，威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令，绕过保护和安全软件。

微软研究人员发现了所有五个漏洞，并指出其中一个是 CVE-2025-0289，被勒索软件团伙利用进行攻击。然而，研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。

“微软观察到威胁行为者（TAs）在 BYOVD 勒索软件攻击中利用这一弱点，特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升，然后执行进一步的恶意代码，”CERT/CC 的公告中写道。

“Paragon Software 已经修复了这些漏洞，并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。”

微软发现的 Paragon 分区管理器漏洞如下：

• CVE-2025-0288：由于 ‘memmove’ 函数处理不当导致的任意内核内存写入，允许攻击者写入内核内存并提升权限。
• CVE-2025-0287：由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证，导致空指针解引用，启用任意内核代码执行。
• CVE-2025-0286：由于用户提供的数据长度验证不当导致的任意内核内存写入，允许攻击者执行任意代码。
• CVE-2025-0285：由于未验证用户提供的数据，导致任意内核内存映射，通过操纵内核内存映射实现权限提升。
• CVE-2025-0289：由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针，导致不安全的内核资源访问，可能会导致系统资源被攻陷。

前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本，而 CVE-2025-0298（正在被积极利用的漏洞）影响 17 及更早版本。

建议该软件的用户升级到最新版本，其中包含 BioNTdrv.sys 版本 2.0.0，解决了上述所有漏洞。

然而，需要注意的是，即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。

相反，威胁行为者将易受攻击的驱动程序包含在他们自己的工具中，允许他们将其加载到 Windows 中并提升权限。

微软已更新其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 中加载，因此用户和组织应确认保护系统已激活。

您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置已启用，来检查阻止列表是否已启用。

Windows 易受攻击驱动程序阻止列表设置

来源：BleepingComputer

Paragon Software 网站上的一则警告也指出，用户必须在今天之前升级 Paragon 硬盘管理器，因为它使用了相同的驱动程序，而该驱动程序将在今天被微软阻止。

虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞，但 BYOVD 攻击在网络犯罪分子中越来越受欢迎，因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。

已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。

因此，启用微软易受攻击驱动程序阻止列表功能非常重要，以防止易受攻击的驱动程序在您的 Windows 设备上被利用。

---

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；