Злоумышленники эксплуатируют уязвимость в драйвере Paragon Partition Manager (BioNTdrv.sys) в вымогательских атаках, используя драйвер для повышения привилегий и выполнения произвольного кода.
По информации CERT/CC, эта уязвимость нулевого дня (CVE-2025-0289) является одной из пяти уязвимостей, обнаруженных специалистами компании Microsoft.
«Среди них: проблемы, связанные с произвольным отображением и записью памяти ядра, разыменование нулевого указателя, небезопасный доступ к ресурсам ядра и уязвимость, допускающая произвольное перемещение данных в памяти», — говорится в сообщении CERT/CC.
То есть злоумышленник, имеющий локальный доступ к Windows-машине, может использовать уязвимости для повышения привилегий или провоцирования отказа в обслуживании (DoS), пользуясь тем, что файл BioNTdrv.sys подписан Microsoft и является драйвером на уровне ядра. Это позволяет использовать уязвимости для выполнения команд с теми же привилегиями, что и у драйвера, обходя защиту.
Также проблема открывает возможность для атак типа BYOVD (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер») на системы, где Paragon Partition Manager и драйвер вообще не установлены. Это позволит злоумышленникам получить повышенные привилегии и выполнить вредоносный код.
Исследователи не сообщают, какие именно хак-группы использовали CVE-2025-0289 в качестве уязвимости нулевого дня.
Список проблем, затрагивающих версии 1.3.0 и 1.5.1 BioNTdrv.sys, выглядит следующим образом:
- CVE-2025-0285 — уязвимость произвольного отображения памяти ядра в версии 7.9.1, вызванная сбоем в проверке длины данных, предоставляемых пользователем. Злоумышленники могут использовать эту проблему для повышения привилегий;
- CVE-2025-0286 — уязвимость произвольной записи в память ядра в версии 7.9.1, связанная с некорректной проверкой длины данных, предоставляемых пользователем. Позволяет выполнить произвольный код на машине жертвы;
- CVE-2025-0287 — уязвимость разыменования нулевого указателя в версии 7.9.1, связанная с отсутствием корректной структуры MasterLrp во входном буфере. Позволяет выполнить произвольный код на уровне ядра, что позволяет повысить привилегии;
- CVE-2025-0288 — уязвимость памяти ядра в версии 7.9.1, связанная с функцией memmove, в которой не выполняется очистка пользовательского ввода. Позволяет добиться записи произвольной памяти ядра и повышения привилегий;
- CVE-2025-0289 — уязвимость небезопасного доступа к ресурсам ядра в версии 17, связанная с отсутствием проверки указателя MappedSystemVa перед передачей в HalReturnToFirmware. Позволяет злоумышленникам скомпрометировать уязвимую службу.
Компания Paragon Software исправила все уязвимости в версии драйвера 2.0.0. Кроме того, уязвимая версия драйвера уже добавлена в блок-лист Microsoft.
