- 19,462
- 40
- 8 Ноя 2022
CERT/CC предупреждает о волне BYOVD-атак, использующих уязвимый драйвер.
Исследователи Microsoft выявили пять уязвимостей в драйвере BioNTdrv.sys, используемом популярной программой Paragon Partition Manager, предназначенной для работы с разделами жёсткого диска. Одна из обнаруженных уязвимостей уже активно эксплуатируется группировками, занимающимися распространением программ-вымогателей, для получения привилегий уровня SYSTEM в Windows.
Злоумышленники применяют BYOVD-методику, внедряя уязвимый драйвер на атакуемое устройство с целью повышения привилегий. CERT/CC Для просмотра ссылки Войдиили Зарегистрируйся , что локальный атакующий может воспользоваться данными уязвимостями для эскалации привилегий или создания условий для отказа в обслуживании (DoS).
Благодаря тому, что драйвер подписан Microsoft, атака может осуществляться даже на системах, где Paragon Partition Manager не установлен. Уязвимости в BioNTdrv.sys позволяют злоумышленникам выполнять команды с максимальными привилегиями, обходя защитные механизмы и антивирусные программы.
Ниже представлен полный список выявленных проблем:
Хотя разработчики из Paragon Software призывают пользователей срочно обновить программу до последней версии, содержащей исправленный драйвер BioNTdrv.sys 2.0.0, фактически Для просмотра ссылки Войдиили Зарегистрируйся сохраняется даже для тех, кто не пользуется Paragon Partition Manager, поскольку метод BYOVD не требует наличия установленной программы на атакуемом устройстве. Хакеры могут загрузить уязвимый драйвер самостоятельно и произвести успешную атаку.
Тем не менее, рабочий способ защитить систему есть. Так как Microsoft уже добавила уязвимый драйвер в список заблокированных, пользователям Windows необходимо удостовериться, что в параметрах их системы активирована опция «Список заблокированных уязвимых драйверов». Проверить её статус в Windows 11 можно, вбив в меню «Пуск» текстовый запрос «Изоляция ядра».
В случае активации опции реальным пользователям Partition Manager, а также Hard Disk Manager Для просмотра ссылки Войдиили Зарегистрируйся до актуальной версии, так как Windows при обнаружении уязвимого драйвера неизбежно заблокирует его, сделав софт от Paragon неработоспособным.
Хотя конкретные группировки, использующие эту уязвимость, названы не были, известно, что технику BYOVD активно применяют такие киберпреступники, как Scattered Spider, Lazarus Group, BlackByte, LockBit и другие. В связи с этим важно активировать защитные механизмы Windows, чтобы предотвратить эксплуатацию уязвимых драйверов.
Исследователи Microsoft выявили пять уязвимостей в драйвере BioNTdrv.sys, используемом популярной программой Paragon Partition Manager, предназначенной для работы с разделами жёсткого диска. Одна из обнаруженных уязвимостей уже активно эксплуатируется группировками, занимающимися распространением программ-вымогателей, для получения привилегий уровня SYSTEM в Windows.
Злоумышленники применяют BYOVD-методику, внедряя уязвимый драйвер на атакуемое устройство с целью повышения привилегий. CERT/CC Для просмотра ссылки Войди
Благодаря тому, что драйвер подписан Microsoft, атака может осуществляться даже на системах, где Paragon Partition Manager не установлен. Уязвимости в BioNTdrv.sys позволяют злоумышленникам выполнять команды с максимальными привилегиями, обходя защитные механизмы и антивирусные программы.
Ниже представлен полный список выявленных проблем:
- Для просмотра ссылки Войди
или Зарегистрируйся — ошибка записи в память ядра, вызванная некорректной обработкой функции memmove, позволяющая злоумышленникам модифицировать содержимое памяти и повысить привилегии. - Для просмотра ссылки Войди
или Зарегистрируйся — ошибка разыменования нулевого указателя из-за отсутствия проверки структуры MasterLrp в входном буфере, позволяющая выполнить произвольный код в контексте ядра. - Для просмотра ссылки Войди
или Зарегистрируйся — Для просмотра ссылки Войдиили Зарегистрируйся , связанная с некорректной проверкой длины данных, предоставленных пользователем, что даёт возможность выполнения произвольного кода в ядре. - Для просмотра ссылки Войди
или Зарегистрируйся — возможность произвольного отображения памяти ядра, вызванная отсутствием проверки данных, что позволяет злоумышленникам манипулировать картированием памяти и повышать привилегии. - Для просмотра ссылки Войди
или Зарегистрируйся — уязвимость, связанная с небезопасным доступом к ресурсам ядра, что даёт злоумышленнику возможность компрометации системных ресурсов.
Хотя разработчики из Paragon Software призывают пользователей срочно обновить программу до последней версии, содержащей исправленный драйвер BioNTdrv.sys 2.0.0, фактически Для просмотра ссылки Войди
Тем не менее, рабочий способ защитить систему есть. Так как Microsoft уже добавила уязвимый драйвер в список заблокированных, пользователям Windows необходимо удостовериться, что в параметрах их системы активирована опция «Список заблокированных уязвимых драйверов». Проверить её статус в Windows 11 можно, вбив в меню «Пуск» текстовый запрос «Изоляция ядра».
В случае активации опции реальным пользователям Partition Manager, а также Hard Disk Manager Для просмотра ссылки Войди
Хотя конкретные группировки, использующие эту уязвимость, названы не были, известно, что технику BYOVD активно применяют такие киберпреступники, как Scattered Spider, Lazarus Group, BlackByte, LockBit и другие. В связи с этим важно активировать защитные механизмы Windows, чтобы предотвратить эксплуатацию уязвимых драйверов.
- Источник новости
- www.securitylab.ru
