Băng nhóm ransomware khai thác lỗ hổng trong Paragon Partition Manager

02/03/2025
1 mins read
Nội dung
Băng nhóm ransomware khai thác lỗ hổng trong Paragon Partition Manager
1. Lỗ hổng trong BioNTdrv.sys
2. Khai thác trong các cuộc tấn công BYOVD
3. Khai thác chủ động
4. Khuyến nghị về bản vá và phòng thủ
5. Các tác nhân đe dọa

Băng nhóm ransomware khai thác lỗ hổng trong Paragon Partition Manager

Bài viết từ BleepingComputer bàn luận về cách các băng nhóm ransomware đang khai thác một lỗ hổng trong trình điều khiển BioNTdrv.sys của Paragon Partition Manager thông qua các cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD). Dưới đây là những điểm chính:

1. Lỗ hổng trong BioNTdrv.sys

  • CVE-2025-0288: Ghi nhớ ngẫu nhiên trong kernel do xử lý không đúng hàm ‘memmove’.
  • CVE-2025-0287: Tham chiếu con trỏ null do thiếu xác thực cấu trúc ‘MasterLrp’ trong bộ đệm đầu vào.
  • CVE-2025-0286: Ghi nhớ ngẫu nhiên trong kernel do xác thực không đầy đủ độ dài dữ liệu do người dùng cung cấp.
  • CVE-2025-0285: Ánh xạ bộ nhớ ngẫu nhiên trong kernel do không xác thực dữ liệu do người dùng cung cấp.
  • CVE-2025-0289: Truy cập tài nguyên kernel không an toàn do không xác thực con trỏ ‘MappedSystemVa’ trước khi truyền nó cho ‘HalReturnToFirmware’.

2. Khai thác trong các cuộc tấn công BYOVD

Các lỗ hổng này có thể bị khai thác ngay cả khi Paragon Partition Manager không được cài đặt trên hệ thống. Các tác nhân đe dọa sử dụng kỹ thuật BYOVD để tải một phiên bản trình điều khiển dễ bị tổn thương, cho phép họ nâng cao quyền hạn lên mức SYSTEM và thực thi mã độc hại.

3. Khai thác chủ động

Microsoft đã quan sát thấy các tác nhân đe dọa đang khai thác CVE-2025-0289 trong các chiến dịch ransomware. Lỗ hổng này đã được khai thác tích cực trong các cuộc tấn công ransomware, cho phép kẻ tấn công đạt được quyền hạn SYSTEM và thực thi mã độc.

4. Khuyến nghị về bản vá và phòng thủ

  • Người dùng được khuyên nên cập nhật Paragon Partition Manager lên phiên bản mới nhất (BioNTdrv.sys 2.0.0), bản vá cho tất cả năm lỗ hổng.
  • Bật danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft, hiện bao gồm các phiên bản BioNTdrv.sys 1.3.0 và 1.5.1, để ngăn kẻ tấn công tải trình điều khiển bị lỗi.
  • Bật Windows Defender Application Control (WDAC) hoặc Hypervisor-Protected Code Integrity (HVCI) để ngăn chặn các cuộc tấn công BYOVD.

5. Các tác nhân đe dọa

Các băng nhóm ransomware được biết đến đang sử dụng các cuộc tấn công BYOVD bao gồm Scattered Spider, Lazarus, BlackByte, và LockBit ransomware.

Bằng cách làm theo các khuyến nghị này, người dùng có thể bảo vệ hệ thống của họ khỏi những lỗ hổng này và ngăn chặn các cuộc tấn công ransomware tiềm tàng.

Tags