IT之家 3 月 2 日消息,科技媒体 bleepingcomputer 昨日(3 月 2 日)发布博文,报道称微软发现 Paragon 分区管理软件驱动程序 BioNTdrv.sys 存在五个漏洞,其中一个被勒索软件团伙用于零日攻击,以获取 Windows 系统最高权限。
攻击者利用这 5 个漏洞,可以提升权限,或者发起拒绝服务(DoS)攻击。由于攻击涉及微软签名的驱动程序,攻击者即使在目标系统上未安装 Paragon 分区管理器的情况下,也可以利用“自带漏洞驱动程序”(BYOVD) 技术进行攻击。
IT之家注:BioNTdrv.sys 是 Paragon 分区管理软件中使用的一个内核级驱动程序,攻击者可以利用漏洞以与驱动程序相同的权限执行命令,绕过安全防护和软件。
微软研究人员发现了所有五个漏洞,并指出其中一个漏洞(CVE-2025-0289)正被勒索软件团伙用于攻击,但研究人员没有透露哪些勒索软件团伙正在利用该漏洞进行零日攻击。
CVE-2025-0288:由于对“memmove”函数处理不当,导致任意内核内存写入。
CVE-2025-0287:由于输入缓冲区中缺少对“MasterLrp”结构的验证,导致空指针解引用。
CVE-2025-0286:由于对用户提供的数据长度验证不当,导致任意内核内存写入。
CVE-2025-0285:由于未能验证用户提供的数据,导致任意内核内存映射。
CVE-2025-0289:由于在将“MappedSystemVa”指针传递给“HalReturnToFirmware”之前未能对其进行验证,导致内核资源访问不安全。
Paragon Software 和微软已分别发布补丁和更新,修复了这些漏洞,使用 Paragon 分区管理软件的用户应升级到最新版本(BioNTdrv.sys 2.0.0)。
即使未安装 Paragon 分区管理器,用户也可能受到 BYOVD 攻击,因此微软已更新其“易受攻击的驱动程序阻止列表”,阻止 Windows 加载问题驱动。
微软推荐 Windows 10、Windows 11 用户启用此功能,路径为设置 → 隐私和安全性 → Windows 安全中心 → 设备安全性 → 内核隔离 → Microsoft 易受攻击的驱动程序阻止列表。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。