Une vulnérabilité zéro-jour dans un pilote signé par Microsoft du logiciel Paragon est exploitée dans des attaques de ransomwares.
Vendredi, le CERT Coordination Center a averti dans un avis de sécurité que cinq vulnérabilités ont été découvertes dans le pilote Biontrv.SYS de Partition Manager de Paragon. Les acteurs de la menace ont déjà exploité l’un des défauts de ce que l’on appelle «apporter vos propres attaques de conducteur vulnérable» (BYOVD), dans lesquels les attaquants utilisent des conducteurs signés pour compromettre les systèmes et échapper à la détection.
Selon l’avis, CVE-2025-0289 est une vulnérabilité d’accès aux ressources du noyau non sécurisé qui peut être utilisée pour augmenter les privilèges ou exécuter des attaques DOS sur des appareils ciblés. CERT a averti que la vulnérabilité peut être exécutée sur les appareils Windows même si Paragon Partition Manager, qui partitionne les disques durs pour optimiser l’espace et les performances du disque, n’est pas installé.
“Microsoft a observé des acteurs de menace (TAS) exploitant cette faiblesse dans les attaques de ransomware BYOVD, en utilisant spécifiquement le CVE-2025-0289 pour atteindre l’escalade des privilèges au niveau du système, puis exécuter un code malveillant supplémentaire”, a déclaré CERT en L’avis. “Ces vulnérabilités ont été corrigées par les deux logiciels Paragon et les versions vulnérables Biontrv.SYS bloquées par la liste de blocs de pilote vulnérable de Microsoft.”
Variante de ransomware non révélée
On ne sait pas quel type de ransomware a été utilisé dans ces attaques. Cybersecurity Dive a contacté Microsoft pour commenter l’activité d’exploitation.
L’avis de certificat comprend quatre autres vulnérabilités dans le pilote biontdrv.sys, y compris CVE-2025-0288une vulnérabilité arbitraire de la mémoire du noyau qui peut entraîner une escalade de privilèges; CVE-2025-0287une vulnérabilité de déréférence du pointeur nul qui permet l’escalade des privilèges; CVE-2025-0286une vulnérabilité arbitraire d’écriture de mémoire du noyau qui permet l’exécution d’un code arbitraire; et CVE-2025-0285Une vulnérabilité de cartographie de la mémoire arbitraire du noyau qui permet une escalade de privilège.
CERT a crédité Microsoft de la découverte des cinq vulnérabilités de pilote.
Cybersecurity Dive a contacté Paragon pour commenter le rapport du CERT.
Les gangs de ransomware ont abusé des conducteurs vulnérables dans le passé pour échapper aux produits de détection et de réponse des terminaux et même terminer leurs processus avant de pouvoir identifier toute activité malveillante. Par exemple, les chercheurs de Sophos l’année dernière ont découvert que les acteurs de RansomHub utilisaient un outil appelé “Edrkillshifter“” qui exploite les conducteurs vulnérables pour arrêter la détection EDR et élever les privilèges sur les systèmes ciblés.
#Conducteur #signé #Microsoft #utilisé #dans #les #attaques #ransomwares