Una nuova vulnerabilità zero-day, identificata come CVE-2025-0289, è emersa nel driver Paragon Partition Manager , sollevando gravi preoccupazioni nella comunità di sicurezza informatica. Gli esperti di CERT/CC avvertono che questo problema potrebbe essere sfruttato da aggressori per attacchi ransomware, con la possibilità di aumentare i privilegi e eseguire codice dannoso su sistemi Windows. La situazione è complicata dal fatto che il driver coinvolto è firmato da Microsoft e opera a livello di kernel, rendendolo potenzialmente pericoloso quando accessibile da attaccanti.
Dettagli sulla vulnerabilità e rischi associati
La vulnerabilità CVE-2025-0289 si inserisce in un contesto più ampio di cinque problemi di sicurezza individuati dai ricercatori Microsoft. Questi difetti variano da vulnerabilità di mappatura arbitraria della memoria a dereferenziazioni di puntatori NULL e accessi non sicuri alle risorse del kernel. La gravità di questa vulnerabilità è tale che permette a un attaccante, già in possesso di accesso locale a un computer Windows, di sfruttare il driver BioNTdrv.sys per ottenere privilegi elevati, oppure causare un attacco di negazione di servizio .
L’importanza della questione si intensifica ulteriormente se si considera che il driver vulnerabile consente l’esecuzione di comandi con gli stessi privilegi del driver stesso. È più di un semplice problema software; si tratta di una falla che può diventare un portale per attacchi più complessi. Il fatto che la vulnerabilità possa favorire attacchi BYOVD ha reso il panorama di sicurezza ancora più allarmante, dal momento che potrebbe compromettere anche i sistemi in cui Paragon Partition Manager non è stato installato, aumentando il numero di potenziali vittime.
Specifiche tecniche delle vulnerabilità
Il CERT/CC ha delineato le specifiche tecniche delle vulnerabilità che colpiscono le versioni 1.3.0 e 1.5.1 di BioNTdrv.sys, evidenziando diversi problemi critici:
-
CVE-2025-0285: Una vulnerabilità di mappatura della memoria arbitraria che deriva da errori nella convalida della lunghezza dei dati forniti dall’utente. Gli aggressori possono sfruttare questa falla per ottenere l’escalation dei privilegi.
-
CVE-2025-0286: Riguarda una vulnerabilità di scrittura arbitraria della memoria, anch’essa causata da controlli inadeguati sulla lunghezza dei dati. Permette l’esecuzione di codice arbitrario sul computer della vittima.
-
CVE-2025-0287: Questa falla è collegata alla dereferenziazione del puntatore nullo, risultante da una mancanza di validazione della struttura MasterLrp nel buffer di input, consentendo l’esecuzione di codice a livello di kernel.
-
CVE-2025-0288: Connessa alla funzione memmove, questa vulnerabilità non pulisce correttamente gli input dell’utente, consentendo di scrivere memoria di kernel arbitraria e permettendo l’escalation dei privilegi.
-
CVE-2025-0289: Questa vulnerabilità critica riguarda l’assenza di convalida del puntatore MappedSystemVa prima di un passaggio a HalReturnToFirmware. Ciò consente agli aggressori di compromettere un servizio vulnerabile.
Risposte e mitigazioni da Paragon Software
In risposta a questa emergente crisi di sicurezza, Paragon Software ha rilasciato una correzione per tutte le vulnerabilità menzionate, disponibile nella versione 2.0.0 del driver. Gli utenti sono fortemente incoraggiati a aggiornare i loro sistemi con immediata urgenza. Allo stesso tempo, Microsoft ha incluso la versione vulnerabile di BioNTdrv.sys in un elenco nero, evidenziando l’importanza di adottare misure di sicurezza per proteggere i sistemi da exploit futuri legati a queste vulnerabilità.
La comunità informatica è ora in attesa di ulteriori dettagli su quali gruppi di hacker potrebbero aver già sfruttato exploit legati a CVE-2025-0289. La scoperta ha riacceso i riflettori sulle pratiche di sicurezza informatica e sull’importanza di mantenere i software sempre aggiornati per proteggere i dati e le infrastrutture.