
Los actores de amenazas han estado explotando una vulnerabilidad de seguridad en el controlador Biontdrv.Sys del gerente de partición Paragon en ataques de ransomware para aumentar los privilegios y ejecutar código arbitrario.
El defecto de día cero (CVE-2025-0289) es parte de un conjunto de cinco vulnerabilidades que Microsoft descubrió Microsoft, según el Centro de Coordinación CERT (CERT/CC).
“Estos incluyen vulnerabilidades arbitrarias de mapeo de memoria y escritura de núcleo, un puntero de puntero nulo, acceso inseguro de recursos del núcleo y una vulnerabilidad arbitraria de movimiento de memoria”, CERT/CC dicho.
En un escenario de ataque hipotético, un adversario con acceso local a una máquina de Windows puede explotar estas deficiencias para aumentar los privilegios o causar una condición de denegación de servicio (DOS) al aprovechar el hecho de que Microsoft firma “Biontdrv.sys”.
Esto también podría allanar el camino para lo que se llama traer su propio ataque vulnerable (BYOVD) contra sistemas donde el conductor no está instalado, lo que permite a los actores de amenaza obtener privilegios elevados y ejecutar código malicioso.
La lista de vulnerabilidades, que afectan las versiones de Biontdrv.Sys 1.3.0 y 1.5.1, es la siguiente –
- CVE-2025-0285 – Una vulnerabilidad arbitraria de mapeo de memoria del núcleo en la versión 7.9.1 causada por una falla en validar las longitudes de datos proporcionadas por el usuario. Los atacantes pueden explotar este defecto para aumentar los privilegios.
- CVE-2025-0286 – Una vulnerabilidad de escritura de memoria de núcleo arbitraria en la versión 7.9.1 debido a la validación inadecuada de las longitudes de datos proporcionadas por el usuario. Este defecto puede permitir a los atacantes ejecutar código arbitrario en la máquina de la víctima.
- CVE-2025-0287 – Una vulnerabilidad de deserencia de puntero nulo en la versión 7.9.1 causada por la ausencia de una estructura MasterLRP válida en el búfer de entrada. Esto permite que un atacante ejecute el código arbitrario del núcleo, lo que permite la escalada de privilegios.
- CVE-2025-0288 – Una vulnerabilidad de memoria arbitraria en el núcleo en la versión 7.9.1 causada por la función MemMove, que no desanima la entrada controlada por el usuario. Esto permite a un atacante escribir memoria arbitraria del núcleo y lograr la escalada de privilegios.
- CVE-2025-0289 – Una vulnerabilidad insegura de acceso a recursos del núcleo en la versión 17 causada por la falla para validar el puntero MappedSystemVA antes de pasarlo a HalReturnTofirmware. Esto permite a los atacantes comprometer el servicio afectado.
Las vulnerabilidades han sido desde entonces dirigido por Paragon Software con la versión 2.0.0 del controlador, con la versión susceptible del controlador agregado a Lista de bloques del controlador de Microsoft.
El desarrollo se produce días después de que Check Point reveló detalles de una campaña de malware a gran escala que aprovechó a otro controlador de Windows vulnerable asociado con el suite de productos de Adlice (“Truesight.sys”) para evitar la detección e implementar el malware de rata GH0ST.





