Una grave vulnerabilidad de seguridad ha sido identificada en el controlador BioNTdrv.sys del software Paragon Partition Manager, permitiendo a los ciberdelincuentes ejecutar ataques de ransomware en sistemas Windows. Esta brecha de seguridad crítica, catalogada como CVE-2025-0289, está siendo activamente explotada para elevar privilegios y ejecutar código malicioso a nivel del sistema.
Análisis Técnico de la Vulnerabilidad
El equipo de investigación de Microsoft ha descubierto un conjunto de cinco vulnerabilidades críticas en el controlador, siendo la más preocupante aquella que afecta directamente a la gestión de memoria del kernel. Las fallas incluyen problemas de mapeo arbitrario de memoria, desreferenciación de punteros nulos y acceso no seguro a recursos del kernel, comprometiendo severamente la integridad del sistema operativo.
Implicaciones para la Seguridad del Sistema
La gravedad de esta vulnerabilidad se amplifica debido a que el controlador BioNTdrv.sys cuenta con firma digital de Microsoft y opera a nivel de kernel. Esta combinación proporciona a los atacantes una vía perfecta para eludir los mecanismos de seguridad nativos de Windows, permitiendo la ejecución de código malicioso con privilegios elevados.
Amenaza de Ataques BYOVD
Una preocupación particular surge de la posibilidad de ataques BYOVD (Bring Your Own Vulnerable Driver), donde los atacantes pueden implementar el controlador vulnerable incluso en sistemas que nunca han tenido instalado Paragon Partition Manager. Esta técnica permite a los ciberdelincuentes comprometer sistemas previamente seguros mediante la carga manual del controlador afectado.
Soluciones y Mitigaciones
Las versiones 1.3.0 y 1.5.1 del controlador han sido identificadas como vulnerables. Paragon Software ha respondido liberando la versión 2.0.0, que corrige estas vulnerabilidades. Microsoft, por su parte, ha incluido las versiones comprometidas en su lista de controladores bloqueados para prevenir su carga en sistemas Windows.
Los profesionales de TI y administradores de sistemas deben implementar inmediatamente las siguientes medidas de seguridad: actualizar a la última versión de Paragon Partition Manager, verificar la presencia del controlador vulnerable en sus sistemas, y mantener actualizada la lista de controladores bloqueados de Windows. Estas acciones son cruciales para proteger las infraestructuras corporativas contra posibles ataques de ransomware y otras amenazas relacionadas con esta vulnerabilidad.
