黑客利用 Paragon 分区管理器驱动程序漏洞发动勒索软件攻击

网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击，以提升权限并执行任意代码。

这一零日漏洞（CVE-2025-0289）是微软发现的五个漏洞之一，据CERT协调中心（CERT/CC）表示。

“这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。

在一种假设的攻击场景中，本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务（DoS）状况。

这还为所谓的自带漏洞驱动程序（BYOVD）攻击铺平了道路，在这些攻击中，驱动程序未安装的系统会受到攻击，从而使威胁行为者能够获得提升的权限并执行恶意代码。

影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下：

• CVE-2025-0285：由于未验证用户提供的数据长度，7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。
• CVE-2025-0286：由于对用户提供的数据长度验证不当，7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。
• CVE-2025-0287：由于输入缓冲区中缺少有效的 MasterLrp 结构，7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码，从而提升权限。
• CVE-2025-0288：由于 memmove 函数未能净化用户控制的输入，7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。
• CVE-2025-0289：由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证，17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。

Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞，易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。

这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后，该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序（“truesight.sys”）来绕过检测并部署 Gh0st RAT 恶意软件。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；