Microsoft objevil pět chyb v ovladači BioNTdrv.sys od Paragon Partition Manageru, přičemž jedna z nich byla využita ransomware gangy v útocích typu zero-day k získání systémových oprávnění ve Windows. Zranitelné ovladače byly zneužity v útocích „Bring Your Own Vulnerable Driver“ (BYOVD), kdy útočníci nahráli kernelový ovladač na cílový systém, aby zvýšili oprávnění.
„Útočník s lokálním přístupem k zařízení může zneužít tyto zranitelnosti ke zvýšení oprávnění nebo způsobení scénáře odmítnutí služby (DoS) na zařízení oběti,“ vysvětluje varování od CERT/CC. „Navíc, protože útok zahrnuje ovladač podepsaný Microsoftem, může útočník využít techniku BYOVD k napadení systémů, i když Paragon Partition Manager není nainstalován.“
Protože BioNTdrv.sys je ovladač na úrovni jádra, mohou útočníci zneužít zranitelnosti k provádění příkazů se stejnými oprávněními jako ovladač, čímž obejdou ochrany a bezpečnostní software.
Výzkumníci Microsoftu objevili všech pět chyb a poznamenali, že jedna z nich, CVE-2025-0289, je využívána ransomware gangy. Nicméně výzkumníci nezveřejnili, které ransomware gangy tuto chybu zneužívají jako zero-day.
„Microsoft zaznamenal, že útočníci (TAs) zneužívají tuto slabinu v BYOVD ransomware útocích, konkrétně využívají CVE-2025-0289 k dosažení zvýšení oprávnění na úroveň SYSTEM a následnému spuštění dalšího škodlivého kódu,“ uvádí bulletin CERT/CC. „Tyto zranitelnosti byly opraveny jak společností Paragon Software, tak i blokováním zranitelných verzí BioNTdrv.sys v seznamu blokovaných ovladačů Microsoftu.“
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
