Paragon Partition Manager: rilevato sfruttamento in rete della CVE-2025-0289

La vulnerabilità CVE-2025-0289 è una falla di accesso non sicuro alle risorse del kernel nel driver BioNTdrv.sys di Paragon Partition Manager, una piattaforma per la gestione delle partizioni. Questa vulnerabilità è stata sfruttata in attacchi di ransomware utilizzando la tecnica Bring Your Own Vulnerable Driver (BYOVD), che consente agli attaccanti di ottenere privilegi di sistema su dispositivi Windows.

Dettagli sulla Vulnerabilità

• CVE-2025-0289 sfrutta la mancata validazione del puntatore MappedSystemVa prima di passarlo a HalReturnToFirmware, permettendo agli attaccanti di eseguire codice arbitrario con privilegi elevati.
• La vulnerabilità è stata scoperta da Microsoft insieme ad altre quattro vulnerabilità nel driver BioNTdrv.sys:
  • CVE-2025-0288: Vulnerabilità di scrittura arbitraria della memoria del kernel.
  • CVE-2025-0287: Vulnerabilità di dereferenza di puntatore nullo.
  • CVE-2025-0286: Vulnerabilità di scrittura arbitraria della memoria del kernel.
  • CVE-2025-0285: Vulnerabilità di mappatura arbitraria della memoria del kernel.

Impatto e Mitigazione

• Sistemi Affetti: Le versioni di Paragon Partition Manager fino alla 17 e le versioni precedenti alla 7.9.1 sono vulnerabili.
• Conseguenze: Gli attaccanti possono utilizzare la vulnerabilità per eseguire codice arbitrario con privilegi di sistema, bypassando le protezioni di sicurezza e compromettendo il sistema.
• Mitigazione: Paragon Software ha rilasciato un aggiornamento per il driver BioNTdrv.sys (versione 2.0.0) che risolve tutte le vulnerabilità. Microsoft ha aggiunto il driver vulnerabile alla sua lista di driver vulnerabili per bloccarne il caricamento in Windows.

Fonti: ACN, WindowsForum, SecurityAffairs