Nuova vulnerabilità zero-day su Paragon Partition Manager che consente attacchi BYOVD

Gli aggressori sfruttano una vulnerabilità nel driver Paragon Partition Manager (BioNTdrv.sys) negli attacchi ransomware, utilizzando il driver per aumentare i privilegi ed eseguire codice arbitrario. Secondo CERT/CC , questa vulnerabilità zero-day (CVE-2025-0289) è una delle cinque vulnerabilità scoperte dai ricercatori Microsoft.

“Questi includono problemi relativi alla mappatura arbitraria e alla scrittura della memoria del kernel, alla dereferenziazione del puntatore NULL, all’accesso non sicuro alle risorse del kernel e a una vulnerabilità che consente lo spostamento arbitrario dei dati nella memoria”, ha affermato il CERT/CC in una nota.

Ciò significa che un aggressore con accesso locale a una macchina Windows può sfruttare le vulnerabilità per aumentare i privilegi o causare un diniego di servizio (DoS) sfruttando il fatto che il file BioNTdrv.sys è firmato da Microsoft ed è un driver a livello di kernel. Ciò consente di sfruttare le vulnerabilità per eseguire comandi con gli stessi privilegi del driver, aggirando la protezione.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il problema apre anche la possibilità di attacchi BYOVD (Bring Your Own Vulnerable Driver) sui sistemi in cui Paragon Partition Manager e il driver non sono installati. Ciò consentirà agli aggressori di ottenere privilegi elevati ed eseguire codice dannoso. I ricercatori non hanno specificato quali gruppi di hacker hanno utilizzato specificatamente CVE-2025-0289 come vulnerabilità zero-day.

L’elenco dei problemi che interessano le versioni 1.3.0 e 1.5.1 di BioNTdrv.sys è il seguente:

• CVE-2025-0285 è una vulnerabilità di mappatura della memoria arbitraria nel kernel 7.9.1 causata da un errore nella convalida della lunghezza dei dati forniti dall’utente. Gli aggressori possono sfruttare questo problema per ottenere l’escalation dei privilegi;
• CVE-2025-0286 è una vulnerabilità di scrittura arbitraria nella memoria del kernel nella versione 7.9.1 dovuta a un controllo non corretto della lunghezza dei dati forniti dall’utente. Consente l’esecuzione di codice arbitrario sul computer della vittima;
• CVE-2025-0287 – Esiste una vulnerabilità di dereferenziazione del puntatore nullo nella versione 7.9.1 dovuta alla mancanza di una struttura MasterLrp valida nel buffer di input. Consente l’esecuzione di codice arbitrario a livello di kernel, consentendo l’escalation dei privilegi;
• CVE-2025-0288 è una vulnerabilità della memoria del kernel nella versione 7.9.1 correlata alla funzione memmove, che non pulisce l’input dell’utente. Consente di scrivere memoria kernel arbitraria e di aumentare i privilegi;
• CVE-2025-0289 – Vulnerabilità relativa alla mancanza di convalida del puntatore MappedSystemVa prima del passaggio a HalReturnToFirmware. Consente agli aggressori di compromettere un servizio vulnerabile.

Paragon Software ha corretto tutte le vulnerabilità nella versione 2.0.0 del driver. Inoltre, la versione vulnerabile del driver è già stata aggiunta alla lista nera di Microsoft .

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.