CVE-2025-0289: Paragon Partition Manager Flaw Exploited in BYOVD Ransomware Attacks
2025/03/03 SecurityOnline — Paragon Partition Manager の BioNTdrv.sys ドライバーに存在する、深刻な脆弱性のクラスターがランサムウェア攻撃で積極的に悪用されていると、先日の CERT/CC 脆弱性ノートが警告している。この脅威アクターは、BYOVD (Bring Your Own Vulnerable Driver) の手口により、システム・レベルへの権限昇格を実現しているという。
ディスク・パーティションを管理するツール Paragon Partition Manager は、カーネル・レベルのドライバー “BioNTdrv.sys” を使用して、特権であるディスク操作を実行している。この製品のバージョン 2.0.0 以前には、以下の5つの重大な脆弱性が含まれている。
- CVE-2025-0288 :任意のカーネル・メモリ書き込み
memmove 関数の欠陥を悪用する攻撃者は、任意のカーネル・メモリを上書きして、権限昇格を施行できる。 - CVE-2025-0287:Null ポインター参照
入力構造が不適切に処理される場合に、任意のカーネル・コード実行の可能性が生じる。 - CVE-2025-0286:任意のカーネル・メモリ書込
指定されたデータ長をユーザーが適切に検証できないため、任意のコード実行の可能性が生じる。 - CVE-2025-0285:任意のカーネル・メモリ・マッピング
この欠陥を悪用する攻撃者は、カーネル・メモリに直接アクセスして権限昇格の機会を得る。 - CVE-2025-0289:安全が確保されないカーネル・リソース・アクセス
MappedSystemVa ポインターの検証チェックの欠落による、それを悪用する攻撃者に、サービス侵害を許してしまう。
Microsoft の研究者たちは、「この脆弱性 CVE-2025-0289 はランサムウェア・グループに積極的に悪用されている。その手法は、脆弱性を悪用する BYOVD 攻撃であり、権限を SYSTEM レベルに昇格し、悪意のコード実行に到達している状況を確認した」と述べている。
Paragon Partition Manager がインストールされていない場合であっても、攻撃者は脆弱なドライバー バージョンを手動でロードして、BYOVD によるシステム侵害を達成できる。
これらの脆弱性を悪用する攻撃者は、以下のアクティビティを施行できる:
- 管理者による制限を回避して、権限をシステム・レベルに昇格させる。
- システム・クラッシュ (BSOD) をトリガーして、DoS 攻撃を引き起こす。
- 任意のコード実行により、マルウェア・ペイロードをインストールする。
BYOVD 攻撃が増加し続けているが、今回の BioNTdrv.sys の悪用は、Microsoft 署名のドライバーを悪意のある目的に用いる攻撃者が増加するという、最近の傾向に合致している。
すでに Paragon Software は、BioNTdrv.sys バージョン 2.0.0 をリリースし、これらの脆弱性に対処している。ユーザーに強く推奨されるのは、速やかに最新バージョンへとアップデートし、悪用を防止することだ。
Microsoft として講じた対策は、Windows の脆弱なドライバ・ブロック・リストへの、BioNTdrv.sys バージョン 1.3.0/1.5.1 の追加により、パッチ適用済のシステムへの、攻撃者によるロードの防止である。
この攻撃で使用されている BYOVD (Bring Your Own Vulnerable Driver) という手法は、BYOD (Bring Your Own Device) をもじったもので、脅威アクターがターゲット・マシン上に、正規かつ脆弱なドライバーをインストールするという、とてもやっかいなものです。Microsoft も Windows Vulnerable Driver Blocklist の更新という形で対処しているようですが、ユーザーとしても、定期的なアップデートと脆弱性管理が不可欠です。よろしければ、以下の BYOVD 関連記事も、ご参照下さい。
2024/11/03:Cortex XDR を回避する脅威アクター
2024/08/22:2024年 Q2 のサイバー脅威:そのトレンドを分析/解説
2024/04/15:Windows Kernel の脆弱性 CVE-2024-21338 に PoC
IoT OT Security News 
You must be logged in to post a comment.