Dreigingsactoren hebben een beveiligingskwetsbaarheid benut in de BIONTDRV.SYS -stuurprogramma van Paragon Partition Manager in ransomware -aanvallen om privileges te escaleren en willekeurige code uit te voeren.
De zero-day fout (CVE-2025-0289) maakt deel uit van een set van vijf kwetsbaarheden die door Microsoft zijn ontdekt, volgens het CERT-coördinatiecentrum (CERC/CC).
“Deze omvatten willekeurige kernelgeheugenmapping en het schrijven van kwetsbaarheden, een nulaanwijzer dereference, onzekere kernel resource -toegang en een willekeurige kwetsbaarheid van geheugenbeweging,” zei CERC/CC.
In een hypothetisch aanvalsscenario kan een tegenstander met lokale toegang tot een Windows-machine deze tekortkomingen benutten om voorrechten te escaleren of een Denial-of-Service (DOS) -conditie te veroorzaken door te profiteren van het feit dat “Biontdrv.sys” is ondertekend door Microsoft.
Dit kan ook de weg vrijmaken voor wat een BREEKEN uw eigen kwetsbare bestuurder (BYOVD) -aanval op systemen waar de bestuurder niet wordt geïnstalleerd, waardoor de dreigingsactoren verhoogde privileges kunnen verkrijgen en kwaadaardige code kan uitvoeren.
De lijst met kwetsbaarheden, die van invloed zijn op BIONTDRV.SYS -versies 1.3.0 en 1.5.1, is als volgt –
- CVE-2025-0285 – Een willekeurige kwetsbaarheid van kernelgeheugen mapping in versie 7.9.1 veroorzaakt door een niet-geleverde gegevenslengtes te valideren. Aanvallers kunnen deze fout exploiteren om voorrechten te escaleren.
- CVE-2025-0286 – Een willekeurig kernelgeheugen schrijft kwetsbaarheid in versie 7.9.1 vanwege onjuiste validatie van door de gebruiker geleverde gegevenslengtes. Deze fout kan aanvallers in staat stellen willekeurige code uit te voeren op de machine van het slachtoffer.
- CVE-2025-0287 – Een nul -aanwijzer Dereference -kwetsbaarheid in versie 7.9.1 veroorzaakt door de afwezigheid van een geldige masterlrp -structuur in de invoerbuffer. Hierdoor kan een aanvaller willekeurige kernelcode uitvoeren, waardoor privilege -escalatie mogelijk wordt.
- CVE-2025-0288 – Een willekeurige kwetsbaarheid van kernelgeheugen in versie 7.9.1 veroorzaakt door de Memmove-functie, die de door de gebruiker gecontroleerde invoer niet wordt aangeheven. Dit stelt een aanvaller in staat om willekeurig kernelgeheugen te schrijven en privilege -escalatie te bereiken.
- CVE-2025-0289 – Een onzekere kwetsbaarheid van de kernel Resource -toegang in versie 17 veroorzaakt door het niet valideren van de toegewezen SystemVA -aanwijzer voordat deze wordt doorgegeven aan halreturntofirmware. Hierdoor kunnen aanvallers de getroffen service in gevaar brengen.
De kwetsbaarheden zijn sindsdien door Paragon -software aangepakt met versie 2.0.0 van de stuurprogramma, met de gevoelige versie van de driver toegevoegd aan de Blocklist van Microsoft.
De ontwikkeling komt dagen na het controlepunt onthulde details van een grootschalige malware-campagne die gebruik maakte van een ander kwetsbaar Windows-stuurprogramma dat is geassocieerd met ADLICE’s productsuite (“Truesight.SYS”) om detectie te omzeilen en de GH0ST-rattenmalware te implementeren.
