Microsoft avait découvert cinq gestionnaires de partitions Paragon BioNTdrv.failles du pilote sys, dont une utilisée par les gangs de ransomwares lors d’attaques zero-day pour obtenir des privilèges SYSTÈME sous Windows.
Les pilotes vulnérables ont été exploités dans des attaques BYOVD (Bring Your Own Vulnerable Driver) où les acteurs de la menace déposent le pilote du noyau sur un système ciblé pour élever les privilèges.
« Un attaquant disposant d’un accès local à un périphérique peut exploiter ces vulnérabilités pour augmenter les privilèges ou provoquer un scénario de déni de service (DoS) sur la machine de la victime », explique un avertissement du CERT/CC.
« De plus, comme l’attaque implique un pilote signé Microsoft, un attaquant peut tirer parti d’une technique BYOVD (Apportez votre propre pilote vulnérable) pour exploiter les systèmes même si Paragon Partition Manager n’est pas installé. «
Comme le montre BioNTdrv.sys est un pilote au niveau du noyau, les acteurs de la menace peuvent exploiter les vulnérabilités pour exécuter des commandes avec les mêmes privilèges que le pilote, en contournant les protections et les logiciels de sécurité.
Les chercheurs de Microsoft ont découvert les cinq failles, notant que l’une d’entre elles, CVE-2025-0289, est exploitée dans les attaques de groupes de ransomwares. Cependant, les chercheurs n’ont pas révélé quels gangs de ransomwares exploitaient la faille comme un jour zéro.
« Microsoft a observé des acteurs de la menace (AT) exploiter cette faiblesse dans les attaques de ransomware BYOVD, en particulier en utilisant CVE-2025-0289 pour obtenir une élévation de privilèges au niveau du SYSTÈME, puis exécuter d’autres codes malveillants », lit-on dans le bulletin CERT/CC.
« Ces vulnérabilités ont été corrigées à la fois par Paragon Software et par BIONTDRV vulnérable.versions sys bloquées par la liste de blocage des pilotes vulnérables de Microsoft. »
Les failles Paragon Partition Manager découvertes par Microsoft sont:
- CVE-2025-0288 – Écriture arbitraire dans la mémoire du noyau causée par une mauvaise gestion de la fonction’ memmove’, permettant aux attaquants d’écrire dans la mémoire du noyau et d’augmenter les privilèges.
- CVE-2025-0287 – Déréférencement de pointeur nul résultant d’une validation manquante d’une structure ‘MasterLrp’ dans le tampon d’entrée, permettant l’exécution de code de noyau arbitraire.
- CVE-2025-0286 – Écriture arbitraire de la mémoire du noyau causée par une validation incorrecte des longueurs de données fournies par l’utilisateur, permettant aux attaquants d’exécuter du code arbitraire.
- CVE-2025-0285 – Mappage arbitraire de la mémoire du noyau causé par l’échec de la validation des données fournies par l’utilisateur, permettant une augmentation des privilèges en manipulant les mappages de la mémoire du noyau.
- CVE-2025-0289 – Accès non sécurisé aux ressources du noyau causé par l’échec de la validation du pointeur ‘MappedSystemVa’ avant de le transmettre à ‘HalReturnToFirmware’, entraînant une compromission potentielle des ressources système.
Les quatre premières vulnérabilités affectent Paragon Partition Manager versions 7.9.1 et antérieures, tandis que CVE-2025-0298, la faille activement exploitée, affecte la version 17 et les versions antérieures.
Il est recommandé aux utilisateurs du logiciel de passer à la dernière version, qui contient BioNTdrv.sys version 2.0.0, qui corrige toutes les failles mentionnées.
Cependant, il est important de noter que même les utilisateurs qui n’ont pas installé Paragon Partition Manager ne sont pas à l’abri des attaques. Les tactiques BYOVD ne reposent pas sur la présence du logiciel sur la machine de la cible.
Au lieu de cela, les auteurs de menaces incluent le pilote vulnérable avec leurs propres outils, ce qui leur permet de le charger dans Windows et d’augmenter les privilèges.
Microsoft a mis à jour sa « Liste de blocage des pilotes vulnérables » pour empêcher le chargement du pilote dans Windows, de sorte que les utilisateurs et les organisations doivent vérifier que le système de protection est actif.
Vous pouvez vérifier si la liste de blocage est activée en accédant à Paramètres → Confidentialité et sécurité → Sécurité Windows → Sécurité de l’appareil → Isolation du cœur → Liste de blocage des pilotes vulnérables Microsoft et en vous assurant que le paramètre est activé.
Un avertissement sur le site de Paragon Software avertit également que les utilisateurs doivent mettre à niveau Paragon Hard Disk Manager d’ici aujourd’hui, car il utilise le même pilote, qui sera bloqué par Microsoft aujourd’hui.
Bien qu’il ne soit pas clair quels gangs de ransomwares exploitent le Paragon a volé, ET les attaques sont devenues de plus en plus populaires parmi les cybercriminels car elles leur permettent d’obtenir facilement des privilèges SYSTÈME sur les appareils Windows.
Les acteurs de la menace connus pour utiliser les attaques BYOVD incluent Scattered Spider, Lazarus, BlackByte ransomware, Lock Bit ransomware et bien d’autres.
Pour cette raison, il est important d’activer la fonctionnalité de liste de blocage des pilotes vulnérables Microsoft pour empêcher l’utilisation de pilotes vulnérables sur vos périphériques Windows.