![勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞]( "勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞")
微软发现了五个 Paragon Partition Manager BioNTdrv.sys 驱动程序漏洞,其中一个被勒索软件团伙在 0 DAY 攻击中利用来获取 Windows 中的 SYSTEM 权限。
这些易受攻击的驱动程序被利用于“自带易受攻击的驱动程序”(BYOVD)攻击,其中攻击者将内核驱动程序放到目标系统上以提升权限。
CERT/CC 的警告解释道:“具有设备本地访问权限的攻击者可以利用这些漏洞来提升权限或在受害者的机器上引发拒绝服务 (DoS) 场景。”
此外,由于攻击涉及 Microsoft 签名的驱动程序,即使未安装 Paragon Partition Manager,攻击者也可以利用自带易受攻击的驱动程序 (BYOVD) 技术来利用系统。
由于 BioNTdrv.sys 是内核级驱动程序,攻击者可以利用漏洞以与驱动程序相同的权限执行命令,从而绕过保护和安全软件。
微软研究人员发现了这五个漏洞,并指出其中一个漏洞 CVE-2025-0289 被勒索软件团伙用于攻击。不过,研究人员并未透露哪些勒索软件团伙正在利用该漏洞作为零日漏洞。
CERT/CC 公告指出:“微软已经观察到威胁行为者 (TA) 在 BYOVD 勒索软件攻击中利用此弱点,具体使用 CVE-2025-0289 将权限提升到 SYSTEM 级别,然后执行进一步的恶意代码。”
Paragon Software 已修补这些漏洞,并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。
Microsoft 发现的 Paragon Partition Manager 漏洞如下:
-
CVE-2025-0288 – 由于对“memmove”函数处理不当而导致任意内核内存写入,允许攻击者写入内核内存并提升权限。
-
CVE-2025-0287 – 由于输入缓冲区中缺少对“MasterLrp”结构的验证而导致的空指针取消引用,从而导致任意内核代码的执行。
-
CVE-2025-0286 – 由于对用户提供的数据长度验证不当而导致任意内核内存写入,允许攻击者执行任意代码。
-
CVE-2025-0285 – 由于无法验证用户提供的数据而导致的任意内核内存映射,通过操纵内核内存映射可以实现权限提升。
-
CVE-2025-0289 – 由于在将“MappedSystemVa”指针传递给“HalReturnToFirmware”之前未能对其进行验证,导致内核资源访问不安全,从而可能危及系统资源。
前四个漏洞影响 Paragon Partition Manager 7.9.1 及之前的版本,而被积极利用的漏洞 CVE-2025-0298 影响 17 及更早版本。
建议该软件用户升级到最新版本,其中包含 BioNTdrv.sys 版本 2.0.0,该版本解决了所有提到的漏洞。
但需要注意的是,即使没有安装 Paragon Partition Manager 的用户也无法免受攻击。BYOVD 策略不依赖于目标机器上存在的软件。
相反,攻击者将易受攻击的驱动程序包含在他们自己的工具中,允许他们将其加载到 Windows 中并提升权限。
微软已更新其“易受攻击的驱动程序阻止列表”以阻止驱动程序在 Windows 中加载,因此用户和组织应验证保护系统是否处于活动状态。
您可以通过前往设置→隐私和安全→ Windows 安全→设备安全→核心隔离→ Microsoft 易受攻击的驱动程序阻止列表来检查阻止列表是否已启用,并确保设置已启用。
![勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞]( "勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞")
Paragon Software 网站上的警告还警告用户必须在今天之前升级 Paragon Hard Disk Manager,因为它使用相同的驱动程序,而该驱动程序将于今天被微软阻止。
虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞,但 BYOVD 攻击在网络犯罪分子中越来越受欢迎,因为它们允许他们轻松获得 Windows 设备上的 SYSTEM 权限。
已知利用 BYOVD 攻击的威胁行为者包括Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等等。
因此,启用 Microsoft 易受攻击的驱动程序阻止列表功能以防止在 Windows 设备上使用易受攻击的驱动程序非常重要。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞
评论