https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

新聞

BYOVD 攻擊手法提升權限!微軟示警 Paragon Partition Manager 零日漏洞

2025 / 03 / 03
編輯部
BYOVD 攻擊手法提升權限!微軟示警 Paragon Partition Manager 零日漏洞
微軟安全研究團隊日前發現了 Paragon Partition Manager 軟體的 BioNTdrv.sys 驅動程式存在五個嚴重漏洞,其中一個已被勒索軟體集團作為零日漏洞攻擊使用,以獲取 Windows 系統中的 SYSTEM 權限。

BYOVD 攻擊技術細節

這些易受攻擊的驅動程式被用於「自帶易受攻擊的驅動程式」(Bring Your Own Vulnerable Driver,BYOVD)攻擊中。在此類攻擊中,威脅行為者將存在漏洞的核心驅動程式植入目標系統,以提升權限。

CERT/CC解釋,擁有設備本地存取權限的攻擊者可以利用這些漏洞提升權限或在受害者的機器上造成拒絕服務(DoS)情況。此外,由於攻擊涉及微軟簽名的驅動程式,攻擊者可以利用BYOVD技術來攻擊系統,即使未安裝 Paragon Partition Manager 也不例外。

由於 BioNTdrv.sys 是內核級驅動程式,威脅行為者可以利用漏洞執行具有與驅動程式相同權限的命令,從而繞過保護和安全軟體。

被利用的漏洞細節

微軟研究人員發現了所有五個漏洞,並指出其中一個漏洞 CVE-2025-0289 已被勒索軟體集團利用。不過,研究人員未透露哪些勒索軟體集團正在將此漏洞作為零日漏洞利用。

CERT/CC 指出,微軟已觀察到威脅行為者在 BYOVD 勒索軟體攻擊中利用這一弱點,特別是使用 CVE-2025-0289 來實現提升至 SYSTEM 級別的權限,然後執行進一步的惡意程式碼。

微軟發現的 Paragon Partition Manager 漏洞包括:
  • CVE-2025-0288:不當處理「memmove」功能導致的任意核心記憶體寫入,允許攻擊者寫入內核記憶體並提升權限。
  • CVE-2025-0287:系統未能正確驗證輸入緩衝區中的「MasterLrp」結構,導致空值指標參照錯誤,攻擊者可藉此在內核層執行任意程式碼,徹底控制受影響系統。
  • CVE-2025-0286:用戶提供的數據長度驗證不當導致的任意核心記憶體寫入,允許攻擊者執行任意程式碼。
  • CVE-2025-0285:系統對用戶輸入數據缺乏完整性驗證的環節,致使攻擊者能夠任意操控內核記憶體映射機制,進而提升自身權限至系統級別,取得完整控制權。
  • CVE-2025-0289:此漏洞屬於內核資源保護機制的嚴重缺陷,系統在向「HalReturnToFirmware」函數傳遞「MappedSystemVa」指標時未執行必要的有效性驗證,攻擊者可藉此不當存取關鍵內核資源,從而完全接管系統並執行任意惡意程式碼。
前四個漏洞影響 Paragon Partition Manager 版本 7.9.1 及更早版本,而被積極利用的漏洞 CVE-2025-0298 則影響版本 17 及更早版本。

防護建議

建議該軟體的用戶升級到最新版本,其中包含 BioNTdrv.sys 版本 2.0.0,該版本解決了所有上述漏洞。

然而,值得注意的是,即使未安裝 Paragon Partition Manager 的用戶也不能免受攻擊。BYOVD 戰術不依賴於目標機器上是否存在該軟體。相反,威脅行為者會將易受攻擊的驅動程式包含在他們自己的工具中,使他們能夠將其加載到 Windows 中並提升權限。

微軟已更新其「易受攻擊的驅動程式阻止清單」,以阻止該驅動程式在 Windows 中加載,因此用戶和組織應該確認保護系統已激活。用戶可以通過以下路徑檢查阻止清單是否已啟用:
設置 → 隱私與安全 → Windows 安全中心 → 設備安全 → 核心隔離 → Microsoft 易受攻擊的驅動程式阻止清單,並確保該設置已啟用。

Paragon Software 的網站上也警告說,用戶必須在今天之前升級 Paragon Hard Disk Manager,因為它使用相同的驅動程式,該驅動程式將在今天被微軟停止下載。

雖然目前尚不清楚哪些勒索軟體集團正在利用 Paragon 漏洞,但 BYOVD 攻擊在網絡犯罪分子中變得越來越受歡迎,因為它們可以輕鬆獲得 Windows 設備上的 SYSTEM 權限。

已知利用 BYOVD 攻擊的威脅行為者包括 Scattered Spider、Lazarus、BlackByte 勒索軟體、LockBit 勒索軟體等諸多組織。

因此,啟用 Microsoft 易受攻擊的驅動程式阻止清單功能非常重要,以防止易受攻擊的驅動程式在 Windows 設備上被使用。

本文轉載自Bleepingcomputer。