微软发现了五处 Paragon Partition Manager 软件中 BioNTdrv.sys 驱动程序的漏洞，其中一处漏洞被勒索软件团伙用于零日攻击，以在 Windows 系统中获取系统（SYSTEM）权限。

在 “自带漏洞驱动程序”（BYOVD）攻击中，这些存在漏洞的驱动程序被利用，威胁行为者会将内核驱动程序放置在目标系统上，从而提升权限。

CERT/CC发出的警告中解释道：“对设备具有本地访问权限的攻击者可以利用这些漏洞在受害者机器上提升权限，或者造成拒绝服务（DoS）的情况。”

“此外，由于攻击涉及一个由微软签名的驱动程序，即使目标系统上未安装 Paragon Partition Manager 软件，攻击者也可以利用‘自带漏洞驱动程序’（BYOVD）技术来攻击系统。”

由于 BioNTdrv.sys 是一个内核级驱动程序，威胁行为者可以利用其中的漏洞，以与该驱动程序相同的权限执行命令，从而绕过防护措施和安全软件。

微软的研究人员发现了这五个漏洞，并指出其中一个编号为 CVE-2025-0289 的漏洞正被勒索软件团伙在攻击中利用。然而，研究人员并未透露是哪些勒索软件团伙将这一漏洞作为零日漏洞进行利用的。

CERT/CC 公告中写道：“微软已经观察到威胁行为者（TAs）在‘自带漏洞驱动程序’（BYOVD）勒索软件攻击中利用这一弱点，具体来说，是利用 CVE-2025-0289 来实现权限提升至系统（SYSTEM）级别，然后执行更多恶意代码。”

“Paragon Software 公司已经对这些漏洞进行了修复，并且微软的易受攻击驱动程序阻止列表也已屏蔽了存在漏洞的 BioNTdrv.sys 版本。”

微软发现的 Paragon Partition Manager 软件的漏洞如下：

1.CVE-2025-0288：由于对 “memmove” 函数处理不当，导致可进行任意内核内存写入，攻击者可借此向内核内存写入数据并提升权限。

2.CVE-2025-0287：由于输入缓冲区中对 “MasterLrp” 结构缺少验证，导致出现空指针解引用，从而使攻击者能够执行任意内核代码。

3.CVE-2025-0286：由于对用户提供的数据长度验证不当，导致可进行任意内核内存写入，攻击者可借此执行任意代码。

4.CVE-2025-0285：由于未能验证用户提供的数据，导致可进行任意内核内存映射，攻击者可通过操纵内核内存映射来提升权限。

5.CVE-2025-0289：在将 “MappedSystemVa” 指针传递给 “HalReturnToFirmware” 之前未能进行验证，导致内核资源访问不安全，可能会使系统资源遭到破坏。

前四个漏洞影响 Paragon Partition Manager 7.9.1 版本及更早版本，而正被广泛利用的 CVE-2025-0298漏洞影响 17 版本及更早版本。

建议该软件的用户升级到最新版本，最新版本包含的 BioNTdrv.sys 驱动程序版本为 2.0.0，已修复了上述所有漏洞。

然而，需要注意的是，即使没有安装 Paragon Partition Manager 软件的用户也并非不会受到攻击。BYOVD策略并不依赖于目标机器上是否安装了该软件。

相反，威胁行为者会在自己的工具中包含这个易受攻击的驱动程序，从而能够将其加载到 Windows 系统中并提升权限。

微软已经更新了其 “易受攻击驱动程序阻止列表”，以阻止该驱动程序在 Windows 系统中加载，因此用户和组织应确认防护系统已处于激活状态。

你可以通过以下步骤检查阻止列表是否已启用：进入 “设置”→“隐私和安全”→“Windows 安全中心”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”，并确保该设置处于启用状态。

Paragon Software 公司网站上的一则警告也提醒用户，必须在今日之前升级 Paragon 硬盘管理器，因为该软件使用了相同的驱动程序，而微软今日将屏蔽该驱动程序。

虽然尚不清楚是哪些勒索软件团伙在利用 Paragon 软件的这一漏洞，但 “自带漏洞驱动程序”（BYOVD）攻击在网络犯罪分子中越来越受欢迎，因为这种攻击方式使他们能够轻松获取 Windows 设备上的系统（SYSTEM）权限。

已知会利用 “自带漏洞驱动程序”（BYOVD）攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。

因此，启用微软的易受攻击驱动程序阻止列表功能，以防止在你的 Windows 设备上使用易受攻击的驱动程序是非常重要的。