Microsoft обнаружила пять потенциально опасных атак против своего собственного программного обеспечения

Microsoft исправил уязвимости в Paragon Partition Manager после обнаружения пяти недостатков в драйвере уровня ядра. Один из этих недостатков активно использовался для распространения вымогательского ПО. Данный драйвер может быть злоупотреблен даже без установки менеджера разделов.

Хакеры используют уязвимый драйвер Windows, чтобы повысить привилегии через программное обеспечение Microsoft и таким образом осуществить возможные атаки с использованием нулевых уязвимостей. Microsoft подтвердила эти находки, добавив затронутую версию драйвера в свой список блокировки уязвимых драйверов, одновременно исправив пять недостатков в программе и призвав пользователей как можно скорее установить обновления.

Недостатки были обнаружены в BioNTdrv.sys, ядерном драйвере для программы Paragon Partition Manager. Киберпреступники, которые уже получили какой-то доступ к целевому устройству, могут использовать этот драйвер (если программа установлена на устройстве) или внедрить его, чтобы получить привилегии уровня SYSTEM в Windows и провести атаки с вымогательским ПО.

Проверка списка блокировки:

"Атакующий с локальным доступом к устройству может использовать эти уязвимости для повышения привилегий или вызова отказа системы на целевом компьютере," — сообщила CERT/CC. "Кроме того, так как атака включает использование драйвера, подписанный Microsoft, злоумышленник может использовать технику Bring Your Own Vulnerable Driver (BYOVD), чтобы эксплуатировать системы даже если Paragon Partition Manager не установлен."

Microsoft заявила, что четыре из недостатков затрагивают версии Paragon Partition Manager 7.9.1 и более ранние, а пятый (CVE-2025-0298) влияет на версии 17 и более старые — именно этот недостаток был активно использован в атаках с вымогательским ПО.

Теперь пользователям рекомендуется обновить программное обеспечение до последней версии, так как оно также содержит BioNTdrv.sys версии 2.0.0. Кроме того, пользователи должны проверить включена ли функция блокировки уязвимых драйверов, перейдя в Настройки - Приватность и безопасность - Безопасность Windows - Защита устройства - Основная изоляция - Список блокировки уязвимых драйверов Microsoft и убедиться, что она активирована.