A Microsoft revelou a existência de cinco vulnerabilidades críticas no driver BioNTdrv.sys do Paragon Partition Manager. Uma dessas falhas, identificada como CVE-2025-0289, está sendo explorada por grupos de ransomware para obter privilégios elevados em sistemas Windows. O ataque segue a técnica “Traga seu próprio driver vulnerável” (BYOVD), onde hackers carregam um driver comprometido para contornar proteções e executar código malicioso.
Falha no Paragon Partition Manager é explorada por gangues de ransomware
Como funciona o ataque BYOVD
Os ataques BYOVD permitem que invasores instalem drivers de kernel assinados, explorando falhas para ganhar controle sobre o sistema-alvo. Como o BioNTdrv.sys opera no nível do kernel, ameaças podem executar comandos com privilégios elevados, ignorando softwares de segurança e outras barreiras de proteção do Windows.
Lista das falhas descobertas
A Microsoft identificou cinco vulnerabilidades no driver do Paragon Partition Manager:
- CVE-2025-0288 – Escrita arbitrária na memória do kernel devido a falha na função ‘memmove’.
- CVE-2025-0287 – Ponteiro nulo sem validação permite execução de código de kernel arbitrário.
- CVE-2025-0286 – Falha na validação de dados possibilita escrita arbitrária no kernel.
- CVE-2025-0285 – Mapeamento indevido da memória do kernel permite escalada de privilégios.
- CVE-2025-0289 – Falha na validação do ponteiro ‘MappedSystemVa’ compromete recursos do sistema.
As quatro primeiras vulnerabilidades afetam versões até 7.9.1, enquanto a CVE-2025-0289 impacta versões até 17.
Notícias Relacionadas
Ameaça digital
Malware para Android usa .NET MAUI para burlar detecção e roubar dados
Novas campanhas de malware para Android utilizam o .NET MAUI da Microsoft para evitar detecção, disfarçando-se como aplicativos legítimos. A McAfee identificou falsos apps bancários e de comunicação que roubam dados pessoais e financeiros.
Segurança cibernética
Pesquisadores revelam 200 domínios C2 associados ao malware Raspberry Robin
Pesquisadores identificaram quase 200 domínios C2 usados pelo malware Raspberry Robin, um corretor de acesso inicial para grupos cibercriminosos, incluindo hackers russos.
Como se proteger
A Paragon Software corrigiu as falhas e lançou a versão 2.0.0 do BioNTdrv.sys. Usuários devem atualizar o Paragon Partition Manager imediatamente. Mesmo quem não usa o software pode ser alvo desses ataques, pois os hackers inserem drivers vulneráveis manualmente.
A Microsoft reforçou a proteção com a atualização da Lista de Bloqueio de Drivers Vulneráveis. Para garantir que a proteção esteja ativa, acesse:
Configurações ? Privacidade e segurança ? Segurança do Windows ? Segurança do dispositivo ? Isolamento de núcleo ? Lista de Bloqueio de Drivers Vulneráveis da Microsoft.
Aumento dos ataques BYOVD
Técnicas BYOVD estão sendo cada vez mais utilizadas por cibercriminosos, facilitando a obtenção de privilégios elevados em dispositivos Windows. Grupos conhecidos como Scattered Spider, Lazarus, BlackByte e LockBit já adotam esse tipo de ataque.
Ativar a lista de bloqueio da Microsoft e manter softwares sempre atualizados são medidas essenciais para evitar esse tipo de ameaça.
