Microsoft había descubierto cinco defectos piloto en el ParagontDRV.Sys ParaGondrv.Sys Partition, con los utilizados por pandillas de ransomware en ataques de cero días para obtener privilegios del sistema en Windows.
Los conductores vulnerables han sido explotados en ataques de “traer su propio conductor vulnerable” (BYOVD) donde los actores de amenaza abandonan el conductor central en un sistema dirigido para aumentar los privilegios.
“Un atacante con acceso local a un dispositivo puede usar estas vulnerabilidades para aumentar los privilegios o causar un escenario de negación del servicio (retroceder) en la máquina de la víctima”, dijo una advertencia de CERT / CC.
“Además, como el ataque involucra a un conductor firmado por Microsoft, un atacante puede aprovechar la técnica de traer su propio controlador vulnerable (BYOVD) para explotar los sistemas incluso si el administrador de partición Paragon no está instalada”.
Como BionTDRV.Sys es un piloto de nivel de núcleo, las partes interesadas de amenaza pueden explotar las vulnerabilidades para ejecutar órdenes con los mismos privilegios que el piloto, pasando por alto las protecciones y el software de seguridad.
Los investigadores de Microsoft descubrieron los cinco defectos, señalando que uno de ellos, CVE-2025-0289, es operado en ataques por grupos de ransomware. Sin embargo, los investigadores no revelaron lo que las pandillas de ransomware explotaron el defecto como día cero.
“Microsoft observó a las partes interesadas de amenaza (CAS) operando esta debilidad en los ataques de ransomware BYOVD, específicamente utilizando el CVE-2025-0289 para alcanzar la escalada de privilegios a nivel del sistema, luego ejecutar un código malicioso adicional” “, Cama el boletín CERT / CC.
“Estas vulnerabilidades han sido corregidas por el software Paragon y las versiones vulnerables de BionTrv.Sys bloqueadas por la lista de bloques piloto vulnerables de Microsoft”.
Los defectos del gerente de partición Paragon descubiertos por Microsoft son:
- CVE-2025-0288 – Escritura arbitraria de la memoria del núcleo causada por la manipulación incorrecta de la función “MemMove”, lo que permite a los atacantes escribir en memoria del núcleo y degenerar los privilegios.
- CVE-2025-0287 – Derferencia del puntero cero resultante de una validación faltante de una estructura “maestro” en el sello de entrada, lo que permite la ejecución del código del núcleo arbitrario.
- CVE-2025-0286 – Escritura de memoria arbitraria del núcleo causada por la mala validación de las longitudes de datos proporcionadas por el usuario, lo que permite a los atacantes ejecutar código arbitrario.
- CVE-2025-0285 – Mapeo de la memoria arbitraria del núcleo causado por la falla en validar los datos proporcionados por el usuario, lo que permite la escalada de privilegios manipulando las asignaciones de memoria del núcleo.
- CVE-2025-0289 – Acceso a los recursos del núcleo no garantizado causado por la falla en validar el puntero “MappedSystemVA” antes de pasarlo a “Halreturntofirmware”, lo que lleva a un posible compromiso de los recursos del sistema.
Las primeras cuatro vulnerabilidades tienen un impacto en las versiones del gerente de partición Paragon 7.9.1 y anteriormente, mientras que el CVE-2025-0298, el defecto explotado activamente, tiene un impacto en la versión 17 y más.
Se recomienda a los usuarios de software para ir a la última versión, que contiene BionTDRV.SYS Versión 2.0.0, que aborda todos los defectos mencionados.
Sin embargo, es importante tener en cuenta que incluso los usuarios que no han instalado el administrador de partición Paragon no son inmunes a los ataques. Las tácticas BYOVD no se basan en el software en la máquina de destino.
En cambio, los actores de amenaza incluyen el piloto vulnerable con sus propias herramientas, lo que les permite cargarlo en ventanas y escalar privilegios.
Microsoft ha actualizado su “lista de bloques piloto vulnerable” para evitar que el piloto se cargue en Windows, de modo que los usuarios y organizaciones deben verificar que el sistema de protección esté activo.
Puede verificar si la lista de bloques se activa yendo a Parámetros → Confidencialidad y seguridad → Seguridad de Windows → Seguridad del dispositivo → Aislamiento básico → Lista de bloques piloto vulnerables de Microsoft y asegúrese de que el parámetro esté activado.
.jpg)
Fuente: BleepingCompute
Una advertencia en el sitio de software Paragon también advierte que los usuarios deben actualizar el administrador de disco Hard Disk hoy, ya que usa el mismo controlador, que será bloqueado por Microsoft hoy.
Aunque no está claro qué pandillas de ransomware explotan la falla de Paragon, los ataques BYOVD se han vuelto cada vez más populares entre los cibercriminales porque les permiten obtener fácilmente los privilegios del sistema en los dispositivos de Windows.
Los actores de amenaza que se sabe que usan ataques BYOVD incluyen Sports Spider, Lázarus, ransomware Blackbyte, ransomware y muchos otros.
Por esta razón, es importante permitir la lista de bloques piloto vulnerables de Microsoft para evitar que los controladores vulnerables se utilicen en sus dispositivos Windows.