3月2日消息,据相关科技媒体报道,微软近期发现Paragon分区管理软件中的一个内核级驱动程序BioNTdrv.sys存在五个安全漏洞。其中一项漏洞已被勒索软件团伙利用,实施零日攻击以获取Windows系统的最高权限。
攻击者可通过这些漏洞实现权限提升或发动拒绝服务(DoS)攻击。值得注意的是,由于该驱动程序由微软签名,即使目标系统未安装Paragon分区管理器,攻击者仍可利用“自带漏洞驱动程序”(BYOVD)技术发起攻击。
BioNTdrv.sys是Paragon分区管理软件中使用的核心驱动程序。攻击者可以利用其漏洞,在与驱动程序相同的权限级别上执行命令,从而绕过系统的安全防护机制。
微软的研究团队发现了这五个漏洞,并确认其中一个漏洞(CVE-2025-0289)正被勒索软件团伙用于攻击活动。然而,研究团队并未具体说明哪些勒索软件团伙正在利用该漏洞实施攻击。
以下是这些漏洞的详细信息:
-CVE-2025-0288:由于“memmove”函数处理不当,可能导致任意内核内存写入。
-CVE-2025-0287:因输入缓冲区中缺少对“MasterLrp”结构的验证,可能引发空指针解引用问题。
-CVE-2025-0286:由于对用户提供的数据长度验证不足,可能导致任意内核内存写入。
-CVE-2025-0285:未能验证用户提供的数据,可能导致任意内核内存映射。
-CVE-2025-0289:在将“MappedSystemVa”指针传递给“HalReturnToFirmware”时未进行验证,可能导致内核资源访问不安全。
目前,ParagonSoftware和微软已分别发布补丁和更新,修复了上述漏洞。建议使用Paragon分区管理软件的用户尽快升级至最新版本(BioNTdrv.sys2.0.0)。
此外,由于存在通过BYOVD技术发起攻击的风险,即便未安装Paragon分区管理器的用户也应提高警惕。微软已更新其“易受攻击的驱动程序阻止列表”,以阻止Windows加载存在风险的驱动程序。建议Windows10和Windows11用户启用该功能,具体路径为:设置→隐私和安全性→Windows安全中心→设备安全性→内核隔离→Microsoft易受攻击的驱动程序阻止列表。
