Paragon 硬盘分区工具驱动曝 0day 漏洞，勒索软件合法提权，BYOVD 攻击再现！

近日，知名硬盘分区工具 Paragon Partition Manager 的核心驱动程序 BioNTdrv.sys 被曝存在一组高危漏洞（CVE-2025-0285 ~ CVE-2025-0289）。更严重的是，这些漏洞已被网络犯罪分子利用于勒索软件攻击中，通过“自带漏洞驱动程序”（BYOVD）技术，实现“合法”提权和任意代码执行，对 Windows 系统安全构成严重威胁。

Paragon Partition Manager 与 BioNTdrv.sys：用户与内核的桥梁

Paragon Partition Manager 是一款功能强大的磁盘管理工具，广泛用于硬盘分区、格式化、调整大小、数据迁移等操作。BioNTdrv.sys 是该软件的核心驱动程序，负责与底层硬件（如硬盘控制器）进行交互，执行低级别的磁盘操作。由于驱动程序在操作系统内核（Kernel Mode）中运行，拥有极高的权限，因此其安全性至关重要。任何漏洞都可能被攻击者利用来完全控制系统。

漏洞技术细节深度剖析：

根据 CERT 协调中心 (CERT/CC) 的报告，微软安全团队发现了 BioNTdrv.sys 中的五个严重漏洞。 这些漏洞影响版本1.3.0, 1.5.1 和 7.9.1。

• CVE-2025-0285（任意内核内存映射）：

• 原理： 该漏洞源于驱动程序在处理用户提供的输入数据时，未能正确验证数据长度。具体来说，驱动程序暴露了一个 IOCTL（Input/Output Control）接口，允许用户模式的应用程序与驱动程序进行交互。攻击者可以构造一个恶意的 IOCTL 请求，指定一个超大的数据长度，诱使驱动程序将任意的内核内存区域映射到用户空间。

• 危害： 通过读取映射的内核内存，攻击者可以获取敏感信息（如密码、密钥、内核数据结构等），甚至找到进一步利用的漏洞。

CVE-2025-0286（任意内核内存写入）：
原理：
 与 CVE-2025-0285 类似，该漏洞也源于驱动程序对用户输入数据长度的验证不足。但此漏洞允许攻击者向任意内核内存地址写入数据。
危害：
 攻击者可以利用此漏洞直接修改内核数据结构，例如修改进程的权限令牌（Token），禁用安全机制（如 PatchGuard），甚至直接注入 shellcode 并执行。
CVE-2025-0287（空指针解引用）：
原理：
 驱动程序在处理 IOCTL 请求时，没有正确检查 MasterLrp 结构是否有效。MasterLrp 是 I/O 请求包（IRP）中的一个重要字段，指向 IRP 的主 I/O 请求包。如果 MasterLrp 为空，而驱动程序尝试访问其成员（例如 MasterLrp->UserBuffer），就会导致空指针解引用，引发内核崩溃（蓝屏，BSOD）。
危害：
 虽然直接的危害是导致系统崩溃，但攻击者可以利用精心设计的输入，将空指针解引用转换为任意代码执行。
通过控制输入参数，让 MasterLrp 为 NULL.
通过控制调用时机，让MasterLrp 指向一个可控的地址
CVE-2025-0288 (任意内存移动):
原理:
 漏洞出现在 memmove 函数的使用上。 memmove 函数本身是安全的, 但是驱动程序没有对用户传入的参数进行检查, 导致了任意内存移动。
危害:
 攻击者可以利用此漏洞进行任意内核内存写入, 最终实现提权。
CVE-2025-0289（不安全内核资源访问）：
原理：
 驱动程序在将 MappedSystemVa 指针传递给 HalReturnToFirmware 函数之前，没有对其进行有效性验证。HalReturnToFirmware 是一个底层的内核函数，用于与系统固件（如 UEFI）进行交互。如果 MappedSystemVa 指向一个无效的内存地址（例如，未映射的内存、用户空间地址、受保护的内核区域），HalReturnToFirmware 可能会触发异常，导致系统崩溃，或者更严重的是，被攻击者利用来执行任意代码。
危害：
 攻击者可以利用此漏洞绕过安全检查，直接与固件交互，可能导致系统被永久破坏（“变砖”），或者被植入固件级别的后门。
BYOVD 攻击：“合法”签名的掩护

这些漏洞的真正威胁在于，它们可以被用于“自带漏洞驱动程序”（Bring Your Own Vulnerable Driver，BYOVD）攻击。

• BYOVD 攻击流程：
1. 获取漏洞驱动程序：
   
    攻击者获取 BioNTdrv.sys 驱动程序的合法副本（例如，从 Paragon Partition Manager 的安装包中提取，或从其他受感染的系统中复制）。
2. 加载驱动程序：
   
    攻击者利用其他手段（如社会工程学、漏洞利用）在目标系统上获得管理员权限，并将 BioNTdrv.sys 驱动程序加载到内核中。由于该驱动程序具有 Microsoft 的有效数字签名，因此可以绕过 Windows 的驱动程序签名强制策略（Driver Signature Enforcement，DSE）。
3. 利用漏洞：
   
    攻击者通过发送特制的 IOCTL 请求到 BioNTdrv.sys 驱动程序，触发上述漏洞之一，实现权限提升或任意代码执行。
4. 部署恶意载荷：
   
    攻击者获得内核级权限后，可以部署勒索软件、间谍软件、后门等恶意载荷，完全控制受害系统。

Microsoft 签名：双刃剑

Microsoft 的驱动程序签名机制旨在确保只有经过验证的、可信的驱动程序才能在 Windows 内核中运行。然而，在 BYOVD 攻击中，合法的签名反而成为了攻击者的“帮凶”。由于 BioNTdrv.sys 具有 Microsoft 签名，攻击者可以轻易地将其加载到系统中，而无需担心被安全软件拦截。

缓解措施：

• 立即更新驱动程序：
  
   Paragon Software 已经发布了 BioNTdrv.sys 驱动程序的 2.0.0 版本，修复了这些漏洞。强烈建议所有 Paragon Partition Manager 用户立即更新到最新版本。
• 启用驱动程序签名强制 (DSE)：
  
   确保 Windows 系统启用了驱动程序签名强制，阻止未签名或签名无效的驱动程序加载。
• 使用 Microsoft 驱动程序阻止列表：
  
   微软已将易受攻击的 BioNTdrv.sys 版本添加到其驱动程序阻止列表中。确保你的系统已更新最新的阻止列表。可以通过组策略或者Windows Defender Application Control (WDAC)进行配置。
• 监控驱动程序加载事件：
  
   使用安全监控工具（如 Sysmon、Windows Event Log）监控系统中的驱动程序加载事件，及时发现异常的驱动程序加载行为。
• 限制本地管理员权限：
  
   遵循最小权限原则，避免给普通用户授予本地管理员权限，降低攻击者利用漏洞提升权限的可能性。
• 部署 EDR/XDR 解决方案：
  
   使用端点检测与响应 (EDR) 或扩展检测与响应 (XDR) 解决方案，监控端点行为，检测和阻止 BYOVD 攻击等高级威胁。
• 定期进行漏洞扫描和渗透测试：
  
   主动发现和修复系统中的安全漏洞，包括驱动程序漏洞。
• 安全意识培训：
  
   加强对员工的安全意识培训，教育他们不要随意下载和运行未知来源的软件，不要点击可疑链接或打开来历不明的邮件附件。

与 Adlice 漏洞驱动程序攻击的关联：

Check Point 近期披露了一起利用 Adlice 公司产品中另一个易受攻击的 Windows 驱动程序（truesight.sys）绕过检测并部署 Gh0st RAT 恶意软件的大规模恶意活动。这与本次 Paragon 驱动程序漏洞事件都属于 BYOVD 攻击，表明此类攻击正在成为一种日益流行的威胁。

Paragon Partition Manager 驱动程序漏洞事件再次敲响了 BYOVD 攻击的警钟。攻击者正在积极寻找并利用存在漏洞的合法签名驱动程序，绕过安全防御，实现对目标系统的完全控制。企业和个人用户必须高度重视驱动程序安全，及时更新驱动程序，加强系统监控，并采取多层防御措施，才能有效应对这种日益严峻的威胁。同时，软件开发商也应该加强对其产品的安全开发生命周期管理，避免发布存在漏洞的驱动程序。

原文始发于微信公众号（技术修道场）：Paragon 硬盘分区工具驱动曝 0day 漏洞，勒索软件“合法”提权，BYOVD 攻击再现！