Уязвимость в драйвере BioNTdrv.sys, используемом в Paragon Partition Manager, используется злоумышленниками для проведения атак с элементами программ-вымогателей. При успешной эксплуатации происходит повышение привилегий и выполнение произвольного кода.
Обнаруженная ошибка имеет статус zero-day и идентифицируется как CVE-2025-0289. Эта уязвимость стала одной из пяти найденных Microsoft, о чём сообщил CERT Coordination Center.
Атака становится возможной благодаря недостаточной проверке длины данных, передаваемых пользователем в версиях BioNTdrv.sys 1.3.0 и 1.5.9.1, что позволяет злоумышленникам осуществлять эскалацию привилегий.
Также в рамках обнаруженного набора присутствуют дополнительные уязвимости в версии 7.9.1: CVE-2025-0286, связанная с произвольной записью в область памяти ядра; CVE-2025-0287, вызванная обращением к нулевому указателю вследствие отсутствия корректной структуры MasterLrp; и CVE-2025-0288, где функция memmove не осуществляет должную проверку входных данных. Особая опасность представлена CVE-2025-0289 в версии 17, при которой ошибка в проверке MappedSystemVa перед вызовом HalReturnToFirmware даёт злоумышленникам возможность компрометировать систему.
Сценарий атаки предусматривает возможность локального доступа к системе, что позволяет не только повысить привилегии, но и создать условие для отказа в обслуживании (DoS). Кроме того, метод BYOVD (Bring Your Own Vulnerable Driver) открывает путь для атак даже на системах, где нужный драйвер отсутствует.
Фактор, способствующий успешной эксплуатации, заключается в том, что BioNTdrv.sys подписан Microsoft, что обеспечивает доверие к драйверу и позволяет злоумышленникам обходить стандартные меры безопасности.
В ответ на выявленные угрозы Paragon Software выпустила обновлённую версию драйвера 2.0.0, устраняющую все обнаруженные уязвимости, а Microsoft включила предыдущие версии в перечень заблокированных драйверов.
Недавние сведения, опубликованные Check Point, подтверждают масштабность проблемы: всего несколько дней назад стала известна информация о крупномасштабной кампании злоумышленников, использующих уязвимость в драйвере truesight.sys, связанном с продуктовой линейкой Adlice.
Применение подобных эксплойтов приводит к развёртыванию вредоносного ПО, такого как Gh0st RAT, что подчёркивает необходимость оперативного обновления системных компонентов в среде Windows.
Изображение носит иллюстративный характер
Обнаруженная ошибка имеет статус zero-day и идентифицируется как CVE-2025-0289. Эта уязвимость стала одной из пяти найденных Microsoft, о чём сообщил CERT Coordination Center.
Атака становится возможной благодаря недостаточной проверке длины данных, передаваемых пользователем в версиях BioNTdrv.sys 1.3.0 и 1.5.9.1, что позволяет злоумышленникам осуществлять эскалацию привилегий.
Также в рамках обнаруженного набора присутствуют дополнительные уязвимости в версии 7.9.1: CVE-2025-0286, связанная с произвольной записью в область памяти ядра; CVE-2025-0287, вызванная обращением к нулевому указателю вследствие отсутствия корректной структуры MasterLrp; и CVE-2025-0288, где функция memmove не осуществляет должную проверку входных данных. Особая опасность представлена CVE-2025-0289 в версии 17, при которой ошибка в проверке MappedSystemVa перед вызовом HalReturnToFirmware даёт злоумышленникам возможность компрометировать систему.
Сценарий атаки предусматривает возможность локального доступа к системе, что позволяет не только повысить привилегии, но и создать условие для отказа в обслуживании (DoS). Кроме того, метод BYOVD (Bring Your Own Vulnerable Driver) открывает путь для атак даже на системах, где нужный драйвер отсутствует.
Фактор, способствующий успешной эксплуатации, заключается в том, что BioNTdrv.sys подписан Microsoft, что обеспечивает доверие к драйверу и позволяет злоумышленникам обходить стандартные меры безопасности.
В ответ на выявленные угрозы Paragon Software выпустила обновлённую версию драйвера 2.0.0, устраняющую все обнаруженные уязвимости, а Microsoft включила предыдущие версии в перечень заблокированных драйверов.
Недавние сведения, опубликованные Check Point, подтверждают масштабность проблемы: всего несколько дней назад стала известна информация о крупномасштабной кампании злоумышленников, использующих уязвимость в драйвере truesight.sys, связанном с продуктовой линейкой Adlice.
Применение подобных эксплойтов приводит к развёртыванию вредоносного ПО, такого как Gh0st RAT, что подчёркивает необходимость оперативного обновления системных компонентов в среде Windows.