مایکروسافت پنج نقص درایور Paragon Partition Manager BioNTdrv.sys را کشف کرده بود که یکی از آنها ( CVE-2025-0289) توسط گروههای باجافزار در حملات روز صفر برای کسب دسترسی SYSTEM در ویندوز استفاده میشد.
درایورهای آسیبپذیر در حملات Bring Your Own Vulnerable Driver’ (BYOVD) مورد سوء استفاده قرار گرفتند که در آن عوامل تهدید جهت ارتقا سطح دسترسی، درایور کرنل را روی یک سیستم هدف قرار میدهند. هشداری از CERT/CC تصریح کرد: نفوذگر با دسترسی محلی به دستگاه میتواند از این آسیبپذیریها برای ارتقا سطج دسترسی یا ایجاد سناریوی منع سرویس (DoS) در دستگاه قربانی سوء استفاده کند.
افزون بر این، از آنجایی که حمله شامل یک درایور امضا شده توسط مایکروسافت است، مهاجم میتواند از تکنیک Bring Your Own Vulnerable Driver (BYOVD) برای سوء استفاده از سیستمها استفاده کند، حتی اگر Paragon Partition Manager نصب نشده باشد. BioNTdrv.sys یک درایور در سطح کرنل است، عوامل تهدید میتوانند از آسیبپذیریها برای اجرای دستورات با همان دسترسی درایور، با دور زدن حفاظتها و نرمافزارهای امنیتی سوء استفاده کنند
نقصهای Paragon Partition Manager کشف شده توسط مایکروسافت عبارتند از:
- CVE-2025-0288: آسیبپذیری نوشتن حافظه کرنل دلخواه ناشی از مدیریت نادرست عملکرد ‘memmove‘ است که امکان نوشتن در حافظه کرنل و ارتقا سطح دسترسی را میدهد.
- CVE-2025-0287: آسیبپذیری عدم ارجاع اشاره گر تهی ناشی از عدم تأیید اعتبار ساختار «MasterLrp» در بافر ورودی، که اجرای کد دلخواه کرنل را امکانپذیر میکند.
- CVE-2025-0286: آسیبپذیری نوشتن حافظه کرنل دلخواه ناشی از اعتبارسنجی نامناسب طول دادههای ارائه شده توسط کاربر است ک امکان اجرای کد دلخواه را میدهد.
- CVE-2025-0285: آسیبپذیری نقشهبرداری حافظه کرنل دلخواه ناشی از عدم اعتبارسنجی دادههای ارائه شده توسط کاربر، امکان ارتقا دسترسی با دستکاری نقشههای حافظه کرنل را فراهم میکند.
- CVE-2025-0289: آسیبپذیری دسترسی ناامن به منبع کرنل ناشی از عدم تأیید اعتبار نشانگر «MappedSystemVa» قبل از ارسال آن به «HalReturnToFirmware»، که منجر به به خطر انداختن بالقوه منابع سیستم میشود.
✔️ چهار آسیبپذیری اول نسخههای 7.9.1 و نسخههای قبلی Paragon Partition Manager را تحت تأثیر قرار میدهند، در حالی که CVE-2025-0298، نقصی که به طور فعال اکسپلویت میشود، نسخه 17 و بالاتر را تحت تأثیر قرار میدهد. جهت رفع نقصهای مذکور،به کاربران توصیه شده تا به آخرین نسخه که حاوی BioNTdrv.sys نسخه 2.0.0 است، بهروزرسانی کنند.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
