Специалисты по кибербезопасности обнаружили активную эксплуатацию критической уязвимости в драйвере Paragon Partition Manager (BioNTdrv.sys). Злоумышленники используют данную брешь для проведения вымогательских атак на системы Windows, получая возможность повышения привилегий и выполнения произвольного кода.
Детали уязвимости CVE-2025-0289
По данным координационного центра CERT/CC, уязвимость нулевого дня (CVE-2025-0289) является частью комплекса из пяти критических проблем безопасности, выявленных исследователями Microsoft. Уязвимости затрагивают механизмы работы с памятью ядра, включая произвольное отображение и запись в память, разыменование нулевого указателя и небезопасный доступ к ресурсам ядра.
Механизм эксплуатации и потенциальные риски
Особую опасность представляет тот факт, что файл драйвера BioNTdrv.sys имеет цифровую подпись Microsoft и работает на уровне ядра операционной системы. Это позволяет атакующим, получившим локальный доступ к системе, выполнять команды с повышенными привилегиями, эффективно обходя встроенные механизмы защиты Windows.
Атаки типа BYOVD
Уязвимость открывает возможности для проведения атак типа BYOVD (Bring Your Own Vulnerable Driver), позволяя злоумышленникам атаковать даже те системы, где Paragon Partition Manager изначально не установлен. Атакующие могут самостоятельно загрузить уязвимый драйвер для получения расширенных привилегий и выполнения вредоносного кода.
Затронутые версии и меры защиты
Уязвимости обнаружены в версиях драйвера 1.3.0 и 1.5.1. Компания Paragon Software оперативно отреагировала на угрозу, выпустив исправленную версию 2.0.0. Дополнительно, Microsoft включила уязвимые версии драйвера в свой блок-лист, предотвращая их загрузку в системы Windows.
Специалистам по информационной безопасности рекомендуется немедленно обновить программное обеспечение Paragon до последней версии и провести аудит систем на предмет наличия уязвимого драйвера. Также критически важно поддерживать актуальность списка заблокированных драйверов Windows для предотвращения потенциальных BYOVD-атак.
