-
CVE-2025-0288 – 由于对“memmove”函数处理不当而导致任意内核内存写入,允许攻击者写入内核内存并提升权限。 -
CVE-2025-0287 – 由于输入缓冲区中缺少对“MasterLrp”结构的验证而导致的空指针取消引用,从而导致任意内核代码的执行。 -
CVE-2025-0286 – 由于对用户提供的数据长度验证不当而导致任意内核内存写入,允许攻击者执行任意代码。 -
CVE-2025-0285 – 由于无法验证用户提供的数据而导致的任意内核内存映射,通过操纵内核内存映射可以实现权限提升。 -
CVE-2025-0289 – 由于在将“MappedSystemVa”指针传递给“HalReturnToFirmware”之前未能对其进行验证,导致内核资源访问不安全,从而可能危及系统资源。
Paragon Software 网站上的警告还警告用户必须在今天之前升级 Paragon Hard Disk Manager,因为它使用相同的驱动程序,而该驱动程序将于今天被微软阻止。
虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞,但 BYOVD 攻击在网络犯罪分子中越来越受欢迎,因为它们允许他们轻松获得 Windows 设备上的 SYSTEM 权限。
已知利用 BYOVD 攻击的威胁行为者包括Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等等。
因此,启用 Microsoft 易受攻击的驱动程序阻止列表功能以防止在 Windows 设备上使用易受攻击的驱动程序非常重要。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论