微軟發(fā)現(xiàn)Paragon分區(qū)管理程序的BioNTdrv.sys驅(qū)動存在五個漏洞，其中有一個已被勒索軟件團伙用于零日攻擊，以獲取Windows系統(tǒng)的SYSTEM權限。這些易受攻擊的驅(qū)動程序在“自帶漏洞驅(qū)動程序”（BYOVD）攻擊中被利用，攻擊者將內(nèi)核驅(qū)動程序植入目標系統(tǒng)以提升權限。

BYOVD攻擊原理與影響

BYOVD攻擊的核心在于攻擊者可以利用本地設備訪問權限，通過漏洞提升權限或?qū)е履繕藱C器拒絕服務（DoS）。CERT/CC的警告指出：“攻擊者可以借助微軟簽名的驅(qū)動程序，即使目標系統(tǒng)未安裝Paragon分區(qū)管理程序，也能通過BYOVD技術實施攻擊。”

由于BioNTdrv.sys是一款內(nèi)核級驅(qū)動程序，攻擊者可以利用漏洞執(zhí)行與驅(qū)動程序相同權限的命令，從而繞過防護措施和安全軟件。微軟研究人員發(fā)現(xiàn)，其中一個漏洞CVE-2025-0289已被勒索軟件團伙用于攻擊，盡管具體團伙尚未披露。

CERT/CC公告稱：“微軟觀察到威脅行為體在BYOVD勒索軟件攻擊中利用這一弱點，特別是通過CVE-2025-0289實現(xiàn)權限提升至SYSTEM級別，隨后執(zhí)行進一步的惡意代碼。”Paragon Software已經(jīng)修復了這些漏洞，微軟也通過“漏洞驅(qū)動程序阻止列表”阻止了易受攻擊的BioNTdrv.sys版本。

漏洞詳情與修復建議

微軟發(fā)現(xiàn)的Paragon分區(qū)管理程序漏洞包括：

• CVE-2025-0288：由于“memmove”函數(shù)處理不當導致的任意內(nèi)核內(nèi)存寫入，使攻擊者能夠?qū)懭雰?nèi)核內(nèi)存并提升權限。
• CVE-2025-0287：由于輸入緩沖區(qū)中的“MasterLrp”結構缺少驗證而導致的空指針解引用，使攻擊者能夠執(zhí)行任意內(nèi)核代碼。
• CVE-2025-0286：由于用戶提供的數(shù)據(jù)長度驗證不當導致的任意內(nèi)核內(nèi)存寫入，使攻擊者能夠執(zhí)行任意代碼。
• CVE-2025-0285：由于未驗證用戶提供的數(shù)據(jù)導致的任意內(nèi)核內(nèi)存映射，使攻擊者能夠通過操縱內(nèi)核內(nèi)存映射提升權限。
• CVE-2025-0289：由于在將“MappedSystemVa”指針傳遞給“HalReturnToFirmware”之前未進行驗證而導致的內(nèi)核資源訪問不安全，可能導致系統(tǒng)資源被破壞。

前四個漏洞影響Paragon分區(qū)管理程序7.9.1及更早版本，而正在被利用的漏洞CVE-2025-0289影響版本17及更早版本。建議用戶升級到最新版本，其中包含修復所有漏洞的BioNTdrv.sys 2.0.0版本。

防護措施與建議

值得注意的是，即使未安裝Paragon分區(qū)管理程序的用戶也無法幸免于攻擊，因為BYOVD攻擊并不依賴于目標機器上是否存在該軟件。攻擊者會將易受攻擊的驅(qū)動程序與自己的工具一同植入，從而將其加載到Windows系統(tǒng)中以提升權限。

微軟已更新“漏洞驅(qū)動程序阻止列表”以阻止該驅(qū)動程序在Windows中加載。用戶和組織應確保啟用該防護系統(tǒng)。您可以通過以下路徑檢查是否啟用了阻止列表：設置→ 隱私與安全→ Windows安全中心→ 設備安全→ 核心隔離→ 微軟漏洞驅(qū)動程序阻止列表，并確保該設置已啟用。

Windows設置中的漏洞驅(qū)動程序阻止列表來源：BleepingComputer

Paragon Software的網(wǎng)站也發(fā)布警告，提醒用戶必須立即升級Paragon硬盤管理器，因為它使用了相同的驅(qū)動程序，而該驅(qū)動程序?qū)⒈晃④涀柚埂?/p>

盡管目前尚不清楚哪些勒索軟件團伙在利用Paragon漏洞，但BYOVD攻擊已越來越受網(wǎng)絡犯罪分子歡迎，因為它使他們能夠輕松獲取Windows設備的SYSTEM權限。已知使用BYOVD攻擊的威脅行為體包括Scattered Spider、Lazarus、BlackByte勒索軟件、LockBit勒索軟件等。

因此，啟用微軟漏洞驅(qū)動程序阻止列表功能以阻止易受攻擊的驅(qū)動程序在Windows設備上使用顯得尤為重要。