Aktor ancaman telah mengeksploitasi kerentanan keamanan dalam driver biontdrv.sys manajer paragon dalam serangan ransomware untuk meningkatkan hak istimewa dan menjalankan kode sewenang -wenang.
Kelemahan nol-hari (CVE-2025-0289) adalah bagian dari satu set lima kerentanan yang ditemukan oleh Microsoft, menurut Pusat Koordinasi CERT (CERT/CC).
“Ini termasuk pemetaan memori kernel sewenang -wenang dan kerentanan menulis, dereferensi penunjuk nol, akses sumber daya kernel yang tidak aman, dan kerentanan memori memori yang sewenang -wenang,” kata Cert/CC.
Dalam skenario serangan hipotetis, musuh dengan akses lokal ke mesin Windows dapat mengeksploitasi kekurangan ini untuk meningkatkan hak istimewa atau menyebabkan kondisi penolakan layanan (DOS) dengan memanfaatkan fakta bahwa “biontdrv.sys” ditandatangani oleh Microsoft.
Ini juga bisa membuka jalan bagi apa yang disebut serangan driver rentan membawa sendiri pada sistem di mana pengemudi tidak dipasang, sehingga memungkinkan aktor ancaman untuk mendapatkan hak istimewa yang tinggi dan menjalankan kode berbahaya.
Daftar kerentanan, yang berdampak pada versi biontdrv.sys 1.3.0 dan 1.5.1, adalah sebagai berikut –
- CVE-2025-0285 – Kerentanan pemetaan memori kernel sewenang-wenang dalam versi 7.9.1 yang disebabkan oleh kegagalan untuk memvalidasi panjang data yang disediakan pengguna. Penyerang dapat mengeksploitasi cacat ini untuk meningkatkan hak istimewa.
- CVE-2025-0286 – Kerentanan Menulis Memori Kernel yang sewenang-wenang dalam versi 7.9.1 karena validasi yang tidak tepat dari panjang data yang disediakan pengguna. Cacat ini dapat memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada mesin korban.
- CVE-2025-0287 – Kerentanan Dereference Pointer Null dalam versi 7.9.1 yang disebabkan oleh tidak adanya struktur MasterLRP yang valid dalam buffer input. Ini memungkinkan penyerang untuk menjalankan kode kernel sewenang -wenang, memungkinkan eskalasi hak istimewa.
- CVE-2025-0288 – Kerentanan memori kernel sewenang-wenang dalam versi 7.9.1 yang disebabkan oleh fungsi memmove, yang gagal membersihkan input yang dikendalikan pengguna. Ini memungkinkan penyerang untuk menulis memori kernel yang sewenang -wenang dan mencapai peningkatan hak istimewa.
- CVE-2025-0289 – Kerentanan akses sumber daya kernel yang tidak aman di versi 17 yang disebabkan oleh kegagalan untuk memvalidasi pointer MappedSystemva sebelum meneruskannya ke halreturntofirmware. Ini memungkinkan penyerang untuk mengkompromikan layanan yang terkena dampak.
Kerentanan sejak itu telah ditangani oleh perangkat lunak Paragon dengan versi 2.0.0 dari driver, dengan versi rentan dari driver yang ditambahkan ke daftar blokir driver Microsoft.
Pengembangan ini terjadi beberapa hari setelah Cek mengungkapkan rincian kampanye malware skala besar yang memanfaatkan driver Windows rentan lainnya yang terkait dengan rangkaian produk Adlice (“Truesight.sys”) untuk mendeteksi dan menggunakan malware tikus GH0st.
