Les acteurs de la menace ont exploité une vulnérabilité de sécurité dans le pilote BioNTdrv.sys de Paragon Partition Manager dans des attaques de ransomware pour augmenter les privilèges et exécuter du code arbitraire.

La faille zero-day (CVE-2025-0289) fait partie d’un ensemble de cinq vulnérabilités découvertes par Microsoft, selon le Centre de coordination CERT (CERT/CC).

« Il s’agit notamment de vulnérabilités arbitraires de mappage de mémoire du noyau et d’écriture, d’une déréférence de pointeur nul, d’un accès non sécurisé aux ressources du noyau et d’une vulnérabilité de déplacement de mémoire arbitraire », a déclaré le CERT/CC .

Dans un scénario d’attaque hypothétique, un adversaire disposant d’un accès local à une machine Windows peut exploiter ces failles pour augmenter les privilèges ou provoquer une condition de déni de service (DoS) en profitant du fait que « BioNTdrv.sys » est signé par Microsoft.

Cela pourrait également ouvrir la voie à ce que l’on appelle une attaque BYOVD (Bring Your Own Vulnerable Driver ) sur les systèmes où le pilote n’est pas installé, permettant ainsi aux acteurs de la menace d’obtenir des privilèges élevés et d’exécuter du code malveillant.

La liste des vulnérabilités qui affectent les versions 1.3.0 et 1.5.1 de BioNTdrv.sys est la suivante :

• CVE-2025-0285 – Une vulnérabilité de mappage de mémoire arbitraire du noyau dans la version 7.9.1 causée par un échec de validation des longueurs de données fournies par l’utilisateur. Les attaquants peuvent exploiter cette faille pour augmenter leurs privilèges.
• CVE-2025-0286 – Une vulnérabilité d’écriture arbitraire dans la mémoire du noyau dans la version 7.9.1 en raison d’une validation incorrecte des longueurs de données fournies par l’utilisateur. Cette faille peut permettre aux attaquants d’exécuter du code arbitraire sur la machine de la victime.
• CVE-2025-0287 – Une vulnérabilité de déréférencement de pointeur nul dans la version 7.9.1 causée par l’absence d’une structure MasterLrp valide dans le tampon d’entrée. Cela permet à un attaquant d’exécuter du code noyau arbitraire, permettant ainsi une élévation des privilèges.
• CVE-2025-0288 – Une vulnérabilité arbitraire de la mémoire du noyau dans la version 7.9.1 est causée par la fonction memmove, qui ne parvient pas à nettoyer les entrées contrôlées par l’utilisateur. Cela permet à un attaquant d’écrire de la mémoire arbitraire dans le noyau et d’obtenir une élévation de privilèges.
• CVE-2025-0289 – Une vulnérabilité d’accès aux ressources du noyau non sécurisé dans la version 17 est causée par l’échec de validation du pointeur MappedSystemVa avant de le transmettre à HalReturnToFirmware. Cela permet aux attaquants de compromettre le service affecté.

Les vulnérabilités ont depuis été corrigées par Paragon Software avec la version 2.0.0 du pilote, la version sensible du pilote ayant été ajoutée à la liste de blocage des pilotes de Microsoft .

Ce développement intervient quelques jours après que Check Point a révélé les détails d’une campagne de malware à grande échelle qui a exploité un autre pilote Windows vulnérable associé à la suite de produits d’Adlice (« truesight.sys ») pour contourner la détection et déployer le malware Gh0st RAT.