Фахівці з кібербезпеки виявили масштабну кампанію з експлуатації критичної вразливості у драйвері Paragon Partition Manager (BioNTdrv.sys). Зловмисники активно використовують цю вразливість для проведення програм-вимагачів, отримуючи можливість підвищення системних привілеїв та виконання довільного коду в середовищі Windows.
Аналіз вразливості CVE-2025-0289: технічні деталі
Згідно з даними CERT/CC, виявлена вразливість нульового дня (CVE-2025-0289) є частиною комплексу з п’яти критичних проблем безпеки, ідентифікованих дослідниками Microsoft. Основні вектори атак включають несанкціоноване відображення та запис у пам’ять ядра, розіменування нульового покажчика та небезпечний доступ до системних ресурсів.
Особливості експлуатації та потенційні загрози
Критичність ситуації посилюється тим, що драйвер BioNTdrv.sys має дійсний цифровий підпис Microsoft та функціонує на рівні ядра операційної системи. Це надає зловмисникам можливість обходити вбудовані механізми захисту Windows після отримання локального доступу до системи.
Механізм BYOVD-атак через вразливий драйвер
Особливу небезпеку становить можливість проведення BYOVD-атак (Bring Your Own Vulnerable Driver), коли зловмисники можуть завантажити вразливий драйвер навіть на системи без встановленого Paragon Partition Manager. Це дозволяє атакуючим отримувати підвищені привілеї та виконувати шкідливий код на цільових комп’ютерах.
Рекомендації щодо захисту та оновлення систем
Вразливість присутня у версіях драйвера 1.3.0 та 1.5.1. Компанія Paragon Software випустила оновлену версію 2.0.0, що усуває виявлені проблеми безпеки. Microsoft також включила вразливі версії драйвера до списку блокування Windows, запобігаючи їх несанкціонованому завантаженню.
Для забезпечення безпеки корпоративних та особистих систем рекомендується терміново оновити програмне забезпечення Paragon до актуальної версії, провести аудит наявності вразливого драйвера та регулярно оновлювати список заблокованих драйверів Windows. Додатково варто впровадити багаторівневу систему захисту, включаючи моніторинг активності драйверів та контроль за підвищенням привілеїв у системі.
