Hacker

Microsoftは、5つのParagon Partition Manager BioNTdrv.sysドライバの欠陥を発見した。そのうちの1つは、WindowsのSYSTEM権限を得るためのゼロデイ攻撃でランサムウェア集団によって使用されていた。

これらの脆弱なドライバは、「BYOVD(Bring Your Own Vulnerable Driver)」攻撃で悪用され、脅威者は標的となるシステムのカーネルドライバを落として特権を昇格させる。

「デバイスにローカルアクセスできる攻撃者は、これらの脆弱性を悪用して特権を昇格させたり、被害者のマシンにサービス拒否(DoS)シナリオを引き起こすことができます」と、CERT/CCの警告は説明している。

「さらに、この攻撃はMicrosoft署名のドライバを含むため、攻撃者は、Paragonパーティションマネージャがインストールされていなくても、BYOVD(Bring Your Own Vulnerable Driver)技術を利用してシステムを悪用することができます。”

BioNTdrv.sysはカーネルレベルのドライバであるため、脅威者は脆弱性を悪用してドライバと同じ権限でコマンドを実行し、保護やセキュリティソフトウェアをバイパスすることができます。

マイクロソフト社の研究者は、5つの欠陥すべてを発見し、そのうちの1つであるCVE-2025-0289がランサムウェアグループによる攻撃に活用されていることを指摘した。しかし、研究者は、どのようなランサムウェア集団がゼロデイとしてこの欠陥を悪用しているかは明らかにしていない。

「Microsoftは、脅威行為者(TA)がBYOVDランサムウェア攻撃でこの脆弱性を悪用していることを確認しており、特にCVE-2025-0289を使用してSYSTEMレベルへの権限昇格を達成し、さらに悪意のあるコードを実行している」とCERT/CCの速報は述べている

「これらの脆弱性はParagon Software社によって修正され、BioNTdrv.sysの脆弱なバージョンはMicrosoftの脆弱なドライバ・ブロックリストによってブロックされている。

マイクロソフトが発見したパラゴン・パーティション・マネージャーの欠陥は以下の通り:

  • CVE-2025-0288 – 「memmove」関数の不適切な処理により引き起こされる、カーネルメモリへの任意の書き込み。
  • CVE-2025-0287– 入力バッファ内の ‘MasterLrp’ 構造体の検証の欠落に起因する Null ポインタの非参照により、任意のカーネルコードを実行される可能性があります。
  • CVE-2025-0286 – ユーザーが提供したデータ長の不適切な検証による任意のカーネルメモリ書き込みで、攻撃者に任意のコードを実行される可能性があります。
  • CVE-2025-0285– ユーザーが提供したデータの検証の失敗による、任意のカーネルメモリマッピング。
  • CVE-2025-0289 – ‘MappedSystemVa’ ポインタを ‘HalReturnToFirmware’ に渡す前に検証しなかったことによる、 安全でないカーネルリソースアクセス。

最初の4つの脆弱性は、Paragon Partition Managerのバージョン7.9.1およびそれ以前のバージョンに影響し、CVE-2025-0298は、積極的に悪用される欠陥で、バージョン17およびそれ以前のバージョンに影響します。

BioNTdrv.sysはバージョン2.0.0であり、これらの欠陥に対応しています。

しかし、Paragon Partition Managerをインストールしていないユーザーも攻撃から安全ではないことに注意することが重要だ。BYOVDの手口は、標的のマシンにソフトウェアが存在するかどうかに依存しません。

その代わりに、脅威者は脆弱なドライバを独自のツールに組み込み、Windowsにロードして特権を昇格させる。

マイクロソフトは「脆弱なドライバ・ブロックリスト」を更新し、このドライバがWindowsにロードされるのをブロックしている。

ブロックリストが有効になっているかどうかは、「設定」 →「プライバシーとセキュリティ」→「Windowsセキュリティ」→「デバイスのセキュリティ」→「コアの分離」→「Microsoft Vulnerable Driver Blocklist」で確認できる。

Windows setting
脆弱なドライバーのブロックリストに関する Windows の設定
ソースは こちら:

パラゴン・ソフトウェア社のサイトでも、同じドライバーを使用しているパラゴン・ハードディスク・マネージャーを本日までにアップグレードするよう警告している。

どのようなランサムウェア集団がParagonの欠陥を悪用しているかは不明だが、BYOVD攻撃は、Windowsデバイス上でSYSTEM権限を簡単に獲得できるため、サイバー犯罪者の間でますます人気が高まっている。

BYOVD攻撃を利用していることが知られている脅威主体には、Scattered SpiderLazarusBlackByteランサムウェアLockBitランサムウェアなどがあります。

このため、Microsoft Vulnerable Driver Blocklist機能を有効にして、Windowsデバイスで脆弱なドライバが使用されないようにすることが重要です。