微軟發(fā)現(xiàn)Paragon分區(qū)管理程序的BioNTdrv.sys驅(qū)動(dòng)存在五個(gè)漏洞，其中有一個(gè)已被勒索軟件團(tuán)伙用于零日攻擊，以獲取Windows系統(tǒng)的SYSTEM權(quán)限。這些易受攻擊的驅(qū)動(dòng)程序在“自帶漏洞驅(qū)動(dòng)程序”（BYOVD）攻擊中被利用，攻擊者將內(nèi)核驅(qū)動(dòng)程序植入目標(biāo)系統(tǒng)以提升權(quán)限。

BYOVD攻擊原理與影響

BYOVD攻擊的核心在于攻擊者可以利用本地設(shè)備訪問權(quán)限，通過漏洞提升權(quán)限或?qū)е履繕?biāo)機(jī)器拒絕服務(wù)（DoS）。CERT/CC的警告指出：“攻擊者可以借助微軟簽名的驅(qū)動(dòng)程序，即使目標(biāo)系統(tǒng)未安裝Paragon分區(qū)管理程序，也能通過BYOVD技術(shù)實(shí)施攻擊。”

由于BioNTdrv.sys是一款內(nèi)核級(jí)驅(qū)動(dòng)程序，攻擊者可以利用漏洞執(zhí)行與驅(qū)動(dòng)程序相同權(quán)限的命令，從而繞過防護(hù)措施和安全軟件。微軟研究人員發(fā)現(xiàn)，其中一個(gè)漏洞CVE-2025-0289已被勒索軟件團(tuán)伙用于攻擊，盡管具體團(tuán)伙尚未披露。

CERT/CC公告稱：“微軟觀察到威脅行為體在BYOVD勒索軟件攻擊中利用這一弱點(diǎn)，特別是通過CVE-2025-0289實(shí)現(xiàn)權(quán)限提升至SYSTEM級(jí)別，隨后執(zhí)行進(jìn)一步的惡意代碼。”Paragon Software已經(jīng)修復(fù)了這些漏洞，微軟也通過“漏洞驅(qū)動(dòng)程序阻止列表”阻止了易受攻擊的BioNTdrv.sys版本。

漏洞詳情與修復(fù)建議

微軟發(fā)現(xiàn)的Paragon分區(qū)管理程序漏洞包括：

• CVE-2025-0288：由于“memmove”函數(shù)處理不當(dāng)導(dǎo)致的任意內(nèi)核內(nèi)存寫入，使攻擊者能夠?qū)懭雰?nèi)核內(nèi)存并提升權(quán)限。
• CVE-2025-0287：由于輸入緩沖區(qū)中的“MasterLrp”結(jié)構(gòu)缺少驗(yàn)證而導(dǎo)致的空指針解引用，使攻擊者能夠執(zhí)行任意內(nèi)核代碼。
• CVE-2025-0286：由于用戶提供的數(shù)據(jù)長(zhǎng)度驗(yàn)證不當(dāng)導(dǎo)致的任意內(nèi)核內(nèi)存寫入，使攻擊者能夠執(zhí)行任意代碼。
• CVE-2025-0285：由于未驗(yàn)證用戶提供的數(shù)據(jù)導(dǎo)致的任意內(nèi)核內(nèi)存映射，使攻擊者能夠通過操縱內(nèi)核內(nèi)存映射提升權(quán)限。
• CVE-2025-0289：由于在將“MappedSystemVa”指針傳遞給“HalReturnToFirmware”之前未進(jìn)行驗(yàn)證而導(dǎo)致的內(nèi)核資源訪問不安全，可能導(dǎo)致系統(tǒng)資源被破壞。

前四個(gè)漏洞影響Paragon分區(qū)管理程序7.9.1及更早版本，而正在被利用的漏洞CVE-2025-0289影響版本17及更早版本。建議用戶升級(jí)到最新版本，其中包含修復(fù)所有漏洞的BioNTdrv.sys 2.0.0版本。

防護(hù)措施與建議

值得注意的是，即使未安裝Paragon分區(qū)管理程序的用戶也無法幸免于攻擊，因?yàn)锽YOVD攻擊并不依賴于目標(biāo)機(jī)器上是否存在該軟件。攻擊者會(huì)將易受攻擊的驅(qū)動(dòng)程序與自己的工具一同植入，從而將其加載到Windows系統(tǒng)中以提升權(quán)限。

微軟已更新“漏洞驅(qū)動(dòng)程序阻止列表”以阻止該驅(qū)動(dòng)程序在Windows中加載。用戶和組織應(yīng)確保啟用該防護(hù)系統(tǒng)。您可以通過以下路徑檢查是否啟用了阻止列表：設(shè)置→ 隱私與安全→ Windows安全中心→ 設(shè)備安全→ 核心隔離→ 微軟漏洞驅(qū)動(dòng)程序阻止列表，并確保該設(shè)置已啟用。

Windows設(shè)置中的漏洞驅(qū)動(dòng)程序阻止列表來源：BleepingComputer

Paragon Software的網(wǎng)站也發(fā)布警告，提醒用戶必須立即升級(jí)Paragon硬盤管理器，因?yàn)樗褂昧讼嗤尿?qū)動(dòng)程序，而該驅(qū)動(dòng)程序?qū)⒈晃④涀柚埂?/p>

盡管目前尚不清楚哪些勒索軟件團(tuán)伙在利用Paragon漏洞，但BYOVD攻擊已越來越受網(wǎng)絡(luò)犯罪分子歡迎，因?yàn)樗顾麄兡軌蜉p松獲取Windows設(shè)備的SYSTEM權(quán)限。已知使用BYOVD攻擊的威脅行為體包括Scattered Spider、Lazarus、BlackByte勒索軟件、LockBit勒索軟件等。

因此，啟用微軟漏洞驅(qū)動(dòng)程序阻止列表功能以阻止易受攻擊的驅(qū)動(dòng)程序在Windows設(shè)備上使用顯得尤為重要。