科技媒体报道称，微软发现Paragon分区管理软件驱动程序存在五个漏洞，其中一个已被勒索软件团伙用于零日攻击，以获取Windows系统最高权限。攻击者可利用这些漏洞提升权限或发起拒绝服务攻击。由于攻击涉及微软签名的驱动程序，即使目标系统未安装Paragon分区管理器，也可利用“自带漏洞驱动程序”技术进行攻击。Paragon Software和微软已发布补丁和更新修复这些漏洞，建议用户升级到最新版本。微软还更新了“易受攻击的驱动程序阻止列表”，建议Windows 10和11用户启用此功能。

🚨Paragon分区管理软件驱动程序BioNTdrv.sys存在五个安全漏洞，攻击者可利用这些漏洞提升权限或发起拒绝服务（DoS）攻击。

🛡️微软研究人员发现其中一个漏洞（CVE-2025-0289）正被勒索软件团伙用于零日攻击，但未透露具体团伙信息。

⚙️漏洞包括CVE-2025-0288（任意内核内存写入）、CVE-2025-0287（空指针解引用）、CVE-2025-0286（任意内核内存写入）、CVE-2025-0285（任意内核内存映射）和CVE-2025-0289（内核资源访问不安全）。

✅Paragon Software和微软已发布补丁和更新，修复了这些漏洞，建议用户升级到最新版本（BioNTdrv.sys 2.0.0）。

🔒微软已更新“易受攻击的驱动程序阻止列表”，建议Windows 10和Windows 11用户启用此功能，以防御BYOVD攻击。

IT之家 3 月 2 日消息，科技媒体 bleepingcomputer 昨日（3 月 2 日）发布博文，报道称微软发现 Paragon 分区管理软件驱动程序 BioNTdrv.sys 存在五个漏洞，其中一个被勒索软件团伙用于零日攻击，以获取 Windows 系统最高权限。

攻击者利用这 5 个漏洞，可以提升权限，或者发起拒绝服务（DoS）攻击。由于攻击涉及微软签名的驱动程序，攻击者即使在目标系统上未安装 Paragon 分区管理器的情况下，也可以利用“自带漏洞驱动程序”(BYOVD) 技术进行攻击。

IT之家注：BioNTdrv.sys 是 Paragon 分区管理软件中使用的一个内核级驱动程序，攻击者可以利用漏洞以与驱动程序相同的权限执行命令，绕过安全防护和软件。

微软研究人员发现了所有五个漏洞，并指出其中一个漏洞（CVE-2025-0289）正被勒索软件团伙用于攻击，但研究人员没有透露哪些勒索软件团伙正在利用该漏洞进行零日攻击。

CVE-2025-0288：由于对“memmove”函数处理不当，导致任意内核内存写入。

CVE-2025-0287：由于输入缓冲区中缺少对“MasterLrp”结构的验证，导致空指针解引用。

CVE-2025-0286：由于对用户提供的数据长度验证不当，导致任意内核内存写入。

CVE-2025-0285：由于未能验证用户提供的数据，导致任意内核内存映射。

CVE-2025-0289：由于在将“MappedSystemVa”指针传递给“HalReturnToFirmware”之前未能对其进行验证，导致内核资源访问不安全。

Paragon Software 和微软已分别发布补丁和更新，修复了这些漏洞，使用 Paragon 分区管理软件的用户应升级到最新版本（BioNTdrv.sys 2.0.0）。

即使未安装 Paragon 分区管理器，用户也可能受到 BYOVD 攻击，因此微软已更新其“易受攻击的驱动程序阻止列表”，阻止 Windows 加载问题驱动。

微软推荐 Windows 10、Windows 11 用户启用此功能，路径为设置 → 隐私和安全性 → Windows 安全中心 → 设备安全性 → 内核隔离 →  Microsoft 易受攻击的驱动程序阻止列表。