Microsoft предупреждает о пяти уязвимостях драйвера Paragon Partition Manager BioNTdrv.sys, одна из которых использовалась в качестве 0-day бандами вымогателей в атаках BYOVD для получения привилегий SYSTEM в Windows.
Драйвер Biontdrv.sys является частью Hard Disk Manager и других решений, которые на нем основаны, включая такие как Paragon Partition Manager и Backup and Recovery.
Среди отслеживаемых проблем: произвольная запись в память ядра (CVE-2025-0288), разыменование нулевого указателя (CVE-2025-0287), произвольная запись в память ядра (CVE-2025-0286), произвольное отображение памяти ядра (CVE-2025-0285) и небезопасный доступ к ресурсам ядра (CVE-2025-0289).
Согласно заявлению CERT/CC, злоумышленник, имеющий локальный доступ к устройству, может воспользоваться этими уязвимостями для повышения привилегий или вызвать отказ в обслуживании на компьютере жертвы.
Кроме того, поскольку в атаке задействуется драйвер, подписанный Microsoft, злоумышленник может применить технику Bring Your Own Vulnerable Driver для взлома систем, даже если Paragon Partition Manager не установлен.
Поскольку BioNTdrv.sys является драйвером уровня ядра, злоумышленники могут использовать уязвимости для выполнения команд с теми же привилегиями, что и у драйвера, обходя при этом средства защиты и ПО безопасности.
Уязвимости затрагивают Biontdrv.sys в версиях 1.3.0 и 1.5.1 и были устранены с выпуском 2.0.0. Paragon включила исправления в Hard Disk Manager версии 17.45.0 и выпустила отдельный патч безопасности для устранения ошибок в старых версиях продукта на основе Hard Disk Manager.
Некоторые функции Paragon Hard Disk Manager будут недоступны, если не установлена исправленная версия драйвера BioNTdrv.sys.
Однако исправление доступно только для устройств Windows 10, Windows 11 и Windows Server 2016, 2019, 2022 и 2025, поскольку старые версии платформы считаются небезопасными. Microsoft также на прошлой неделе добавила уязвимые версии драйвера в свой Vulnerable Driver Blocklist.
Пока неясно, какие именно группировки, занимающиеся вымогательством, используют уязвимость Paragon, однако атаки BYOVD становятся все более популярными среди киберпреступников. Замечены: Scattered Spider, Lazarus, BlackByte, LockBit и многие др.
Пользователям рекомендуется обновить все затронутые приложения Paragon, включая Hard Disk Manager, Partition Manager, Backup and Recovery, Drive Copy, Disk Wiper и Migrate OS to SSD, или как можно скорее применить доступное исправление безопасности.
kb.cert.org
Драйвер Biontdrv.sys является частью Hard Disk Manager и других решений, которые на нем основаны, включая такие как Paragon Partition Manager и Backup and Recovery.
Среди отслеживаемых проблем: произвольная запись в память ядра (CVE-2025-0288), разыменование нулевого указателя (CVE-2025-0287), произвольная запись в память ядра (CVE-2025-0286), произвольное отображение памяти ядра (CVE-2025-0285) и небезопасный доступ к ресурсам ядра (CVE-2025-0289).
Согласно заявлению CERT/CC, злоумышленник, имеющий локальный доступ к устройству, может воспользоваться этими уязвимостями для повышения привилегий или вызвать отказ в обслуживании на компьютере жертвы.
Кроме того, поскольку в атаке задействуется драйвер, подписанный Microsoft, злоумышленник может применить технику Bring Your Own Vulnerable Driver для взлома систем, даже если Paragon Partition Manager не установлен.
Поскольку BioNTdrv.sys является драйвером уровня ядра, злоумышленники могут использовать уязвимости для выполнения команд с теми же привилегиями, что и у драйвера, обходя при этом средства защиты и ПО безопасности.
Уязвимости затрагивают Biontdrv.sys в версиях 1.3.0 и 1.5.1 и были устранены с выпуском 2.0.0. Paragon включила исправления в Hard Disk Manager версии 17.45.0 и выпустила отдельный патч безопасности для устранения ошибок в старых версиях продукта на основе Hard Disk Manager.
Некоторые функции Paragon Hard Disk Manager будут недоступны, если не установлена исправленная версия драйвера BioNTdrv.sys.
Однако исправление доступно только для устройств Windows 10, Windows 11 и Windows Server 2016, 2019, 2022 и 2025, поскольку старые версии платформы считаются небезопасными. Microsoft также на прошлой неделе добавила уязвимые версии драйвера в свой Vulnerable Driver Blocklist.
Пока неясно, какие именно группировки, занимающиеся вымогательством, используют уязвимость Paragon, однако атаки BYOVD становятся все более популярными среди киберпреступников. Замечены: Scattered Spider, Lazarus, BlackByte, LockBit и многие др.
Пользователям рекомендуется обновить все затронутые приложения Paragon, включая Hard Disk Manager, Partition Manager, Backup and Recovery, Drive Copy, Disk Wiper и Migrate OS to SSD, или как можно скорее применить доступное исправление безопасности.
CERT/CC Vulnerability Note VU#726882
Paragon Partition Manager contains five memory vulnerabilities within its BioNTdrv.sys driver that allow for privilege escalation and denial-of-service (DoS) attacks
