勒索软件团伙利用Paragon分区管理程序漏洞实施BYOVD攻击
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
微软发现Paragon分区管理程序的BioNTdrv.sys驱动存在五个漏洞,其中一个已被勒索软件利用进行零日攻击。攻击者通过BYOVD技术提升权限,影响未安装该程序的系统。微软和Paragon已发布修复,建议用户升级到最新版本并启用漏洞驱动程序阻止列表以防范攻击。
🎯
关键要点
- 微软发现Paragon分区管理程序的BioNTdrv.sys驱动存在五个漏洞。
- 其中一个漏洞CVE-2025-0289已被勒索软件团伙用于零日攻击,获取Windows系统的SYSTEM权限。
- 攻击者通过BYOVD技术提升权限,即使目标系统未安装该程序也能实施攻击。
- 微软和Paragon已发布修复,建议用户升级到最新版本并启用漏洞驱动程序阻止列表。
- 漏洞详情包括CVE-2025-0288、CVE-2025-0287、CVE-2025-0286、CVE-2025-0285和CVE-2025-0289。
- 前四个漏洞影响Paragon分区管理程序7.9.1及更早版本,CVE-2025-0289影响版本17及更早版本。
- 用户和组织应确保启用微软的漏洞驱动程序阻止列表以防范攻击。
- Paragon Software提醒用户立即升级Paragon硬盘管理器以避免被微软阻止的驱动程序影响。
- BYOVD攻击越来越受网络犯罪分子欢迎,已知的威胁行为体包括Scattered Spider、Lazarus、BlackByte和LockBit等。
❓
延伸问答
什么是BYOVD攻击?
BYOVD攻击是一种利用本地设备访问权限,通过漏洞提升权限或导致目标机器拒绝服务的攻击方式。
Paragon分区管理程序的漏洞有哪些?
Paragon分区管理程序存在五个漏洞,分别是CVE-2025-0285、CVE-2025-0286、CVE-2025-0287、CVE-2025-0288和CVE-2025-0289。
CVE-2025-0289漏洞的影响是什么?
CVE-2025-0289漏洞允许攻击者获取Windows系统的SYSTEM权限,并执行进一步的恶意代码。
如何防范Paragon分区管理程序的漏洞攻击?
用户应升级到最新版本的Paragon分区管理程序,并启用微软的漏洞驱动程序阻止列表。
哪些勒索软件团伙利用了Paragon的漏洞?
已知利用Paragon漏洞的勒索软件团伙包括Scattered Spider、Lazarus、BlackByte和LockBit等。
如何检查是否启用了微软的漏洞驱动程序阻止列表?
可以通过设置→隐私与安全→Windows安全中心→设备安全→核心隔离→微软漏洞驱动程序阻止列表来检查该设置是否已启用。
➡️
