威胁行为者一直在利用 Paragon Partition Manager BioNTdrv.sys 驱动程序中的勒索软件攻击中的安全漏洞来提升权限并执行任意代码。
据 CERT 协调中心 (CERT/CC) 称,零日漏洞 (CVE-2025-0289) 是 Microsoft 发现的五个漏洞的一部分。
“这些漏洞包括任意内核内存映射和写入漏洞、空指针取消引用、不安全的内核资源访问和任意内存移动漏洞,”CERT/CC 表示。
在假设的攻击场景中,对 Windows 计算机具有本地访问权限的攻击者可以利用这些缺点来提升权限或利用“BioNTdrv.sys”由 Microsoft 签名的事实来造成拒绝服务 (DoS) 情况。
这也可能为在未安装驱动程序的系统上进行所谓的自带易受攻击的驱动程序 (BYOVD) 攻击铺平道路,从而允许威胁行为者获得提升的权限并执行恶意代码。
影响 BioNTdrv.sys 版本 1.3.0 和 1.5.1 的漏洞列表如下:
- CVE-2025-0285 - 版本 7.9.1 中存在任意内核内存映射漏洞,该漏洞由无法验证用户提供的数据长度引起。攻击者可利用此缺陷提升权限。
- CVE-2025-0286 - 版本 7.9.1 中存在任意内核内存写入漏洞,这是由于未正确验证用户提供的数据长度所致。此缺陷可允许攻击者在受害者的机器上执行任意代码。
- CVE-2025-0287 - 版本 7.9.1 中存在空指针取消引用漏洞,这是由于输入缓冲区中缺少有效的 MasterLrp 结构而导致的。这允许攻击者执行任意内核代码,从而实现权限提升。
- CVE-2025-0288 - 版本 7.9.1 中由 memmove 函数引起的任意内核内存漏洞,该函数无法清理用户控制的输入。这允许攻击者写入任意内核内存并实现权限提升。
- CVE-2025-0289 - 版本 17 中存在不安全的内核资源访问漏洞,该漏洞是由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未能对其进行验证而导致的。这允许攻击者破坏受影响的服务。
此后,Paragon Software 通过驱动程序 2.0.0 版解决了这些漏洞,并将易受攻击的驱动程序版本添加到 Microsoft 的驱动程序阻止列表中。
这一发展是在 Check Point 披露了大规模恶意软件活动的细节几天后发生的,该活动利用与 Adlice 产品套件(“truesight.sys”)相关的另一个易受攻击的 Windows 驱动程序来绕过检测并部署 Gh0st RAT 恶意软件。
信息来源:https://thehackernews.com/2025/03/hackers-exploit-paragon-partition.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局