IT之家 3 月 2 日消息，科技媒體 bleepingcomputer 昨日（3 月 2 日）發(fā)布博文，報(bào)道稱微軟發(fā)現(xiàn) Paragon 分區(qū)管理軟件驅(qū)動程序 BioNTdrv.sys 存在五個(gè)漏洞，其中一個(gè)被勒索軟件團(tuán)伙用于零日攻擊，以獲取 Windows 系統(tǒng)最高權(quán)限。

攻擊者利用這 5 個(gè)漏洞，可以提升權(quán)限，或者發(fā)起拒絕服務(wù)（DoS）攻擊。由于攻擊涉及微軟簽名的驅(qū)動程序，攻擊者即使在目標(biāo)系統(tǒng)上未安裝 Paragon 分區(qū)管理器的情況下，也可以利用“自帶漏洞驅(qū)動程序”(BYOVD) 技術(shù)進(jìn)行攻擊。

IT之家注：BioNTdrv.sys 是 Paragon 分區(qū)管理軟件中使用的一個(gè)內(nèi)核級驅(qū)動程序，攻擊者可以利用漏洞以與驅(qū)動程序相同的權(quán)限執(zhí)行命令，繞過安全防護(hù)和軟件。

微軟研究人員發(fā)現(xiàn)了所有五個(gè)漏洞，并指出其中一個(gè)漏洞（CVE-2025-0289）正被勒索軟件團(tuán)伙用于攻擊，但研究人員沒有透露哪些勒索軟件團(tuán)伙正在利用該漏洞進(jìn)行零日攻擊。

• CVE-2025-0288：由于對“memmove”函數(shù)處理不當(dāng)，導(dǎo)致任意內(nèi)核內(nèi)存寫入。

• CVE-2025-0287：由于輸入緩沖區(qū)中缺少對“MasterLrp”結(jié)構(gòu)的驗(yàn)證，導(dǎo)致空指針解引用。

• CVE-2025-0286：由于對用戶提供的數(shù)據(jù)長度驗(yàn)證不當(dāng)，導(dǎo)致任意內(nèi)核內(nèi)存寫入。

• CVE-2025-0285：由于未能驗(yàn)證用戶提供的數(shù)據(jù)，導(dǎo)致任意內(nèi)核內(nèi)存映射。

• CVE-2025-0289：由于在將“MappedSystemVa”指針傳遞給“HalReturnToFirmware”之前未能對其進(jìn)行驗(yàn)證，導(dǎo)致內(nèi)核資源訪問不安全。

Paragon Software 和微軟已分別發(fā)布補(bǔ)丁和更新，修復(fù)了這些漏洞，使用 Paragon 分區(qū)管理軟件的用戶應(yīng)升級到最新版本（BioNTdrv.sys 2.0.0）。

即使未安裝 Paragon 分區(qū)管理器，用戶也可能受到 BYOVD 攻擊，因此微軟已更新其“易受攻擊的驅(qū)動程序阻止列表”，阻止 Windows 加載問題驅(qū)動。

微軟推薦 Windows 10、Windows 11 用戶啟用此功能，路徑為設(shè)置 → 隱私和安全性 → Windows 安全中心 → 設(shè)備安全性 → 內(nèi)核隔離 →  Microsoft 易受攻擊的驅(qū)動程序阻止列表。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。