近日,科技新闻界传来消息,知名科技博客bleepingcomputer披露了一项重大安全发现。据报道,微软安全团队在深入研究中发现,Paragon分区管理软件的核心驱动程序BioNTdrv.sys潜藏五个高危漏洞,其中一个漏洞已被勒索软件团伙利用,实施零日攻击,以非法获取Windows系统的最高管理权限。
这五个漏洞为攻击者提供了可乘之机,他们不仅能借此提升权限,还能发起拒绝服务(DoS)攻击,严重影响系统稳定性和安全性。值得注意的是,由于这些漏洞存在于微软签名的驱动程序中,即使目标系统未安装Paragon分区管理器,攻击者也能通过“自带漏洞驱动程序”(BYOVD)技术实施攻击,极大地拓宽了攻击面。
具体而言,BioNTdrv.sys作为Paragon分区管理软件的关键组件,其漏洞允许攻击者以与驱动程序同等的权限执行任意命令,轻松绕过现有的安全防护措施。微软研究人员不仅发现了全部五个漏洞,还指出CVE-2025-0289漏洞正被某些勒索软件团伙积极利用,但具体哪些团伙涉及此次攻击,研究人员并未透露。
各漏洞的具体细节如下:CVE-2025-0288漏洞因“memmove”函数处理不当,导致任意内核内存写入;CVE-2025-0287漏洞则因“MasterLrp”结构验证缺失,引发空指针解引用;CVE-2025-0286漏洞源于对用户数据长度验证不足,同样导致任意内核内存写入;CVE-2025-0285漏洞因未验证用户数据,造成任意内核内存映射;而CVE-2025-0289漏洞则因“MappedSystemVa”指针传递前未验证,导致内核资源访问存在安全隐患。
面对这一严峻安全形势,Paragon Software与微软迅速响应,分别发布了补丁和更新,以全面修复这些漏洞。Paragon分区管理软件的用户被强烈建议升级至最新版本(BioNTdrv.sys2.0.0),以确保系统安全。
考虑到BYOVD攻击的风险,微软已更新其“易受攻击的驱动程序阻止列表”,阻止Windows加载存在问题的驱动程序,从而进一步加固系统防线。微软建议Windows 10和Windows 11用户启用此功能,用户可通过“设置”中的“隐私和安全性”路径,进入“Windows安全中心”,选择“设备安全性”,然后点击“内核隔离”,最后启用“Microsoft易受攻击的驱动程序阻止列表”即可。
