Ciberseguridad 360 | Grupos de ransomware explotan vulnerabilidad de Paragon Partition Manager en ataques BYOVD

Microsoft hab�a descubierto cinco fallos en el controlador Paragon Partition Manager BioNTdrv.sys, uno de ellos utilizado por bandas de ransomware en ataques de zero-day para obtener privilegios de SISTEMA en Windows.

Los controladores vulnerables fueron explotados en ataques "Bring Your Own Vulnerable Driver" (BYOVD) en los que los actores de amenazas dejan caer el controlador del kernel en un sistema objetivo para elevar privilegios.

"Un atacante con acceso local a un dispositivo puede explotar estas vulnerabilidades para elevar privilegios o provocar un escenario de denegaci�n de servicio (DoS) en la m�quina de la v�ctima", explica una advertencia del CERT/CC.

"Adem�s, como el ataque involucra un Driver firmado por Microsoft, un atacante puede aprovechar una t�cnica Bring Your Own Vulnerable Driver (BYOVD) para explotar sistemas incluso si Paragon Partition Manager no est� instalado. "

Como BioNTdrv.sys es un controlador a nivel de kernel, los actores de amenazas pueden explotar las vulnerabilidades para ejecutar comandos con los mismos privilegios que el controlador, eludiendo las protecciones y el software de seguridad.

Los investigadores de Microsoft descubrieron los cinco fallos y se�alaron que uno de ellos, CVE-2025-0289, se aprovecha en ataques de grupos de ransomware. Sin embargo, los investigadores no revelaron qu� bandas de ransomware explotaban el fallo como zero-day.

"Microsoft ha observado a actores de amenazas (TAs) explotando esta debilidad en ataques de ransomware BYOVD, espec�ficamente usando CVE-2025-0289 para lograr la escalada de privilegios a nivel de SISTEMA, para luego ejecutar m�s c�digo malicioso", se lee en el bolet�n del CERT/CC.

"Estas vulnerabilidades han sido parcheadas tanto por Paragon Software, como por las versiones vulnerables de BioNTdrv.sys bloqueadas por la Vulnerable Driver Blocklist de Microsoft".

Los fallos de Paragon Partition Manager descubiertos por Microsoft son:

CVE-2025-0288 - Escritura arbitraria en la memoria del kernel causada por el manejo inadecuado de la funci�n 'memmove', permitiendo a los atacantes escribir en la memoria del kernel y escalar privilegios.

CVE-2025-0287 - Derivaci�n de puntero nulo causada por la falta de validaci�n de una estructura 'MasterLrp' en el buffer de entrada, permitiendo la ejecuci�n de c�digo arbitrario del kernel.

CVE-2025-0286 - Escritura arbitraria en memoria del kernel causada por la incorrecta validaci�n de longitudes de datos suministrados por el usuario, permitiendo a los atacantes ejecutar c�digo arbitrario.

CVE-2025-0285 - Asignaci�n arbitraria de memoria del kernel causada por la falta de validaci�n de los datos suministrados por el usuario, permitiendo la escalada de privilegios mediante la manipulaci�n de las asignaciones de memoria del kernel.

CVE-2025-0289 - Acceso inseguro a recursos del kernel causado por la falla en la validaci�n del puntero 'MappedSystemVa' antes de pasarlo a 'HalReturnToFirmware', llevando a un potencial compromiso de los recursos del sistema.

Las cuatro primeras vulnerabilidades afectan a las versiones 7.9.1 y anteriores de Paragon Partition Manager, mientras que CVE-2025-0298, el fallo activamente explotado, afecta a la versi�n 17 y anteriores.

Se recomienda a los usuarios del software que actualicen a la �ltima versi�n, que contiene la versi�n 2.0.0 de BioNTdrv.sys, que soluciona todos los fallos mencionados.

Sin embargo, es importante se�alar que incluso los usuarios que no tienen instalado Paragon Partition Manager no est�n a salvo de los ataques. Las t�cticas BYOVD no dependen de que el software est� presente en la m�quina del objetivo.

En su lugar, las amenazas incluyen el controlador vulnerable con sus propias herramientas, lo que les permite cargarlo en Windows y escalar privilegios.

Microsoft ha actualizado su "Vulnerable Driver Blocklist" para bloquear la carga del controlador en Windows, por lo que los usuarios y las organizaciones deben comprobar que el sistema de protecci�n est� activo.

Puede comprobar si la lista de bloqueo est� activada accediendo a Configuraci�n ? Privacidad y seguridad ? Seguridad de Windows ? Seguridad de dispositivos ? Aislamiento del n�cleo ? Lista de bloqueo de controladores vulnerables de Microsoft y asegur�ndose de que el ajuste est� activado.

Configuraci�n de Windows para la lista de bloqueo de controladores vulnerables

Fuente: BleepingComputer

Una advertencia en el sitio de Paragon Software tambi�n advierte que los usuarios deben actualizar Paragon Hard Disk Manager antes de hoy, ya que utiliza el mismo controlador, que ser� bloqueado por Microsoft hoy.

Aunque no est� claro qu� bandas de ransomware est�n explotando el fallo de Paragon, los ataques BYOVD se han hecho cada vez m�s populares entre los ciberdelincuentes, ya que les permiten obtener f�cilmente privilegios de SISTEMA en dispositivos Windows.

Entre los actores de amenazas conocidos por utilizar ataques BYOVD se encuentran Scattered Spider, Lazarus, BlackByte ransomware, LockBit ransomware y muchos m�s.

Por esta raz�n, es importante activar la funci�n Microsoft Vulnerable Driver Blocklist para evitar que se utilicen controladores vulnerables en sus dispositivos Windows.

Fuente: bleepingcomputer