微软发现Paragon驱动程序严重漏洞，勒索软件团伙利用进行零日攻击

近期，微软发出了警告，称其发现了Paragon分区管理软件的核心驱动程序BioNTdrv.sys存在一系列严重的安全漏洞。这些漏洞引发了网络安全界的广泛关注，因为其中一个漏洞已被勒索软件团伙用于激烈的零日攻击，可能会导致Windows系统面临重大安全风险。

漏洞概述

根据相关媒体报道，微软研究人员识别出了BioNTdrv.sys驱动程序的五个主要漏洞。这些漏洞不仅可以给攻击者提供提升权限的机会，还可能使他们能够发起拒绝服务（DoS）攻击。特别值得注意的是，由于这些漏洞涉及到微软签名的驱动程序，攻击者可以利用“自带漏洞驱动程序”（BYOVD）的技术，即便目标系统上未安装Paragon分区管理器，攻击者也依然能够凭借这些漏洞发动攻击。

BioNTdrv.sys是Paragon分区管理软件中使用的内核级驱动程序。攻击者可借助这些漏洞执行与驱动程序相同权限的命令，成功绕过系统的安全防护措施。这一情况引起了业界的高度警觉，因为关键的系统防护会被攻陷，导致用户的个人信息和系统数据的安全性受到严重威胁。

具体而言，这五个漏洞的编号和描述如下：

CVE-2025-0288：由于对“memmove”函数的处理不当，允许攻击者进行任意内核内存写入。

CVE-2025-0287：由于输入缓冲区中缺少对“MasterLrp”结构的验证，导致空指针解引用，进而可能导致程序崩溃。

CVE-2025-0286：由于用户提供的数据长度验证不当，允许攻击者执行任意内核内存写入。

CVE-2025-0285：未能验证用户提供的数据，从而可能导致任意内核内存映射。

CVE-2025-0289：在将“MappedSystemVa”指针传递给“HalReturnToFirmware”之前未进行验证可能导致不安全的内核资源访问。

Attack Vector与影响

根据报告，攻击者利用CVE-2025-0289这一漏洞进行零日攻击的方式仍未对外披露，但可以肯定的是，这一漏洞使攻击者能够在系统中获取更高权限，从而对系统进行更为全面的控制。对于普通用户而言，这样的攻击表现为系统变得不稳定、运行缓慢，甚至崩溃；对于企业和机构用户，更是可能导致重要数据的泄露和系统的完全瘫痪。

修复与应对措施

为了应对此次安全事件，Paragon软件和微软方面已经纷纷发布了补丁和更新，以修复上述识别出的漏洞。即便如此，尤其是未安装Paragon分区管理器的用户亦需保持警惕。因为即使未直接使用该软件，依然有可能受到BYOVD攻击的影响。

为了增强安全性，微软已更新了其“易受攻击的驱动程序阻止列表”，并强烈建议Windows 10及Windows 11用户启用这项功能。用户可以通过以下路径进行设置：设置 → 隐私和安全性 → Windows安全中心 → 设备安全性 → 内核隔离 → Microsoft易受攻击的驱动程序阻止列表。

此次事件再次警示我们，普通用户和企业在日常操作中必须高度重视系统的安全性，及时更新软件和操作系统补丁。同时，使用安全套件进行实时监控和病毒防护，以降低潜在的安全威胁。在面对不断进化的网络攻击和安全问题时，采取积极的防御战略显得尤为重要。面对未来，只有通过全方位的安全意识和技术措施，才能够有效抵御潜在的网络威胁，保护个人及企业的关键信息资产不被侵害。