Paragon Partition Managerの脆弱性をランサムウェアグループがBYOVD攻撃で悪用：CVE-2025-0289

佐々山 Tacos

2025.03.03

Paragon Partition Managerの脆弱性をランサムウェアグループがBYOVD攻撃で悪用： CVE-2025-0289

BleepingComputer – March 1, 2025

Paragon Partition Managerのドライバ「BioNTdrv.sys」における脆弱性5件をマイクロソフトが発見したが、このうちCVE-2025-0289は、ランサムウェアグループによるゼロデイ攻撃で使用されていたという。標的デバイスへのローカルアクセスが可能な攻撃者がこれらを悪用した場合、権限昇格やDoS攻撃が実施できる恐れがあるとされる。

ランサムウェア攻撃でゼロデイとして悪用されたCVE-2025-0289は、安全でないカーネルリソースアクセスの脆弱性。CERT/CC（カーネギーメロン大学）のブレティンによると、マイクロソフトは脅威アクターらがBYOVDの手法を用いて同脆弱性を悪用し、SYSTEMレベルへの権限昇格を行ったのち、悪意あるコードを実行したのを観測したという。この脆弱性のほか、同社は以下4件の脆弱性も発見している。

CVE-2025-0288 – 任意のカーネルメモリ書き込みの脆弱性。攻撃者によるカーネルメモリへの書き込みおよび権限昇格を可能にし得る。
CVE-2025-0287 – NULLポインタデリファレンスの脆弱性。任意のカーネルコード実行を可能にし得る。
CVE-2025-0286 – 任意のカーネルメモリ書き込みの脆弱性。攻撃者による任意コードの実行を可能にし得る。
CVE-2025-0285 – 任意のカーネルメモリマッピングの脆弱性。権限昇格を可能にし得る。

これらの脆弱性に対するパッチはParagon Softwareによってリリースされており、ユーザーには最新のバージョン2.0.0へのアップグレードが推奨されている。しかし、脅威アクター自身が脆弱なドライバをターゲットシステムへドロップするBYOVD戦術においては、Paragon Partition Managerがターゲットマシン上に存在するかどうかは問題ではない。つまり、このソフトウェアをインストールしていないユーザーであっても、今回の攻撃の標的となる可能性がある。このため、組織やユーザーには、マイクロソフトが提供する「脆弱なドライバーブロックリスト」による保護を有効化し、脆弱なバージョンのBioNTdrv.sysをブロックできるようにしておくことが推奨される。

今回の脆弱性がどのランサムウェアグループに悪用されているのかは明かされていないが、BYOVDの戦術は、Windowsデバイス上でのSYSTEM権限取得を容易にすることから、サイバー犯罪者らに採用されるケースが増えているという。これまでにBYOVD攻撃を行っていたことが知られるアクターには、Scattered SpiderやLazarus、BlackByteランサムウェア、LockBitランサムウェアなどが含まれるとのこと。