HackerNews 编译,转载请注明出处:
网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击,以提升权限并执行任意代码。
这一零日漏洞(CVE-2025-0289)是微软发现的五个漏洞之一,据CERT协调中心(CERT/CC)表示。
“这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。
在一种假设的攻击场景中,本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务(DoS)状况。
这还为所谓的自带漏洞驱动程序(BYOVD)攻击铺平了道路,在这些攻击中,驱动程序未安装的系统会受到攻击,从而使威胁行为者能够获得提升的权限并执行恶意代码。
影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下:
- CVE-2025-0285:由于未验证用户提供的数据长度,7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。CVE-2025-0286:由于对用户提供的数据长度验证不当,7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。CVE-2025-0287:由于输入缓冲区中缺少有效的 MasterLrp 结构,7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码,从而提升权限。CVE-2025-0288:由于 memmove 函数未能净化用户控制的输入,7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。CVE-2025-0289:由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证,17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。
Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞,易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。
这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后,该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序(“truesight.sys”)来绕过检测并部署 Gh0st RAT 恶意软件。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
