اكتشفت Microsoft خمسة عيوب Driver Biontdrv.sys ، مع واحدة تستخدمها عصابات Ransomware في هجمات يوم صفر للحصول على امتيازات النظام في Windows.
تم استغلال برامج التشغيل الضعيفة في “إحضار هجمات السائق الضعيف الخاص بك” (BYOVD) حيث يسقط الممثلون للتهديد سائق kernel على نظام مستهدف لرفع الامتيازات.
“An attacker with local access to a device can exploit these vulnerabilities to escalate privileges or cause a denial-of-service (DoS) scenario on the victim’s machine,” يشرح تحذيرًا من CERT/CC.
“Additionally, as the attack involves a Microsoft-signed Driver, an attacker can leverage a Bring Your Own Vulnerable Driver (BYOVD) technique to exploit systems even if Paragon Partition Manager is not installed. “
نظرًا لأن Biontdrv.sys هو سائق على مستوى النواة ، يمكن للجهات الفاعلة التهديدات استغلال نقاط الضعف لتنفيذ الأوامر بنفس امتيازات السائق ، متجاوزة الحماية وبرامج الأمان.
اكتشف باحثو Microsoft جميع العيوب الخمسة ، مشيرين إلى أن واحدة منها ، CVE-2025-0289 ، يتم الاستفادة منها في هجمات مجموعات Ransomware. ومع ذلك ، فإن الباحثين لم يكشفوا عن عصابات الفدية التي استغلها العيب في يوم صفر.
“Microsoft has observed threat actors (TAs) exploiting this weakness in BYOVD ransomware attacks, specifically using CVE-2025-0289 to achieve privilege escalation to SYSTEM level, then execute further malicious code,” يقرأ نشرة CERT/CC.
“These vulnerabilities have been patched by both Paragon Software, and vulnerable BioNTdrv.sys versions blocked by Microsoft’s Vulnerable Driver Blocklist.”
عيوب مدير قسم Paragon التي اكتشفتها Microsoft هي:
- CVE-2025-0288 – كتابة ذاكرة النواة التعسفية الناتجة عن التعامل غير السليم لوظيفة “Memmove” ، مما يسمح للمهاجمين بالكتابة إلى ذاكرة kernel وتصاعد الامتيازات.
- CVE-2025-0287 – دسم مؤشر فارغ ناشئ عن التحقق المفقود من بنية “Masterlrp” في المخزن المؤقت للإدخال ، مما يتيح تنفيذ رمز النواة التعسفي.
- CVE-2025-0286 -كتابة ذاكرة kernel التعسفية الناتجة عن التحقق غير السليم من أطوال البيانات التي يقدمها المستخدم ، مما يسمح للمهاجمين بتنفيذ التعليمات البرمجية التعسفية.
- CVE-2025-0285 -رسم خرائط ذاكرة kernel التعسفي الناجم عن الفشل في التحقق من صحة البيانات التي يقدمها المستخدم ، مما يتيح تصعيد الامتياز عن طريق معالجة تعيينات ذاكرة kernel.
- CVE-2025-0289 – وصول موارد kernel غير الآمن الناجم عن الفشل في التحقق من صحة مؤشر “MedpedSystemva” قبل نقله إلى “Halreturntofirmware” ، مما يؤدي إلى حل وسط محتمل لموارد النظام.
تؤثر أول أربعة نقاط الضعف على إصدارات مدير قسم Paragon 7.9.1 وما السابق ، في حين أن CVE-2025-0298 ، العيب المستغلة بشكل نشط ، يؤثر على الإصدار 17 وما فوق.
يوصى بمستخدمي البرنامج للترقية إلى أحدث إصدار ، والذي يحتوي على Biontdrv.sys الإصدار 2.0.0 ، والذي يعالج جميع العيوب المذكورة.
ومع ذلك ، من المهم أن نلاحظ أنه حتى المستخدمين الذين لا يتمتعون بمدير قسم قسم Paragon ليسوا آمنين من الهجمات. لا تعتمد تكتيكات BYOVD على البرنامج الموجود على جهاز الهدف.
بدلاً من ذلك ، تشمل ممثلو التهديد السائق الضعيف بأدواتهم الخاصة ، مما يسمح لهم بتحميله في Windows وتصاعد الامتيازات.
قامت Microsoft بتحديث “قائمة كتلة برنامج التشغيل الضعيفة” لمنع برنامج التشغيل من التحميل في Windows ، لذلك يجب على المستخدمين والمؤسسات التحقق من أن نظام الحماية نشط.
يمكنك التحقق مما إذا تم تمكين قائمة الكتلة عن طريق الذهاب إلى إعدادات → الخصوصية والأمن → أمن Windows → أمان الجهاز → العزلة الأساسية → قائمة سائق Microsoft الضعيفة والتأكد من تمكين الإعداد.
المصدر: BleepingComputer
يحذر تحذير على موقع برنامج Paragon أيضًا أنه يجب على المستخدمين ترقية Paragon Hard Disk Manager بحلول اليوم ، حيث يستخدم نفس برنامج التشغيل ، والذي سيتم حظره بواسطة Microsoft اليوم.
على الرغم من أنه من غير الواضح ما هي عصابات Ransomware التي تستغل عيب Paragon ، إلا أن هجمات ByoVD أصبحت شائعة بشكل متزايد بين مجرمي الإنترنت لأنها تسمح لها بسهولة الحصول على امتيازات النظام على أجهزة Windows.
وتشمل الجهات الفاعلة التهديد المعروفة أنها تستخدم هجمات BYOVD”https://www.bleepingcomputer.com/news/security/scattered-spider-hackers-use-old-intel-driver-to-bypass-security/” الهدف=”_blank” rel=”nofollow noopener”> العنكبوت المبعثرو”https://www.bleepingcomputer.com/news/microsoft/windows-driver-zero-day-exploited-by-lazarus-hackers-to-install-rootkit/” الهدف=”_blank” rel=”nofollow noopener”> لازاروسو”https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/” الهدف=”_blank” rel=”nofollow noopener”> Blackbyte Ransomwareو”https://www.bleepingcomputer.com/news/security/ransomware-gangs-abuse-process-explorer-driver-to-kill-security-software/” الهدف=”_blank” rel=”nofollow noopener”> Lockbit Ransomware، وغيرها الكثير.
لهذا السبب ، من المهم تمكين ميزة قائمة سائق Microsoft الضعيفة لمنع استخدام برامج التشغيل الضعيفة على أجهزة Windows الخاصة بك.