Hackers Exploitan Vulnerabilidad en el Controlador de Paragon Partition Manager en Ataques de Ransomware

En un reciente descubrimiento que ha sacudido a la comunidad de seguridad informática, se ha revelado que actores de amenazas están explotando una vulnerabilidad crítica en el controlador BioNTdrv.sys del Paragon Partition Manager. Este controlador, esencial para la gestión de particiones de disco en sistemas Windows, se ha convertido en el blanco de ataques de ransomware, permitiendo a los atacantes escalar privilegios y ejecutar código arbitrario en las máquinas afectadas.
La vulnerabilidad, identificada como CVE-2025-0289, es parte de un conjunto de cinco fallos de seguridad descubiertos por Microsoft y reportados por el CERT Coordination Center (CERT/CC). Estos incluyen vulnerabilidades de mapeo y escritura arbitraria de memoria del kernel, desreferenciación de puntero nulo, acceso inseguro a recursos del kernel y una vulnerabilidad de movimiento arbitrario de memoria.
En un escenario hipotético de ataque, un adversario con acceso local a una máquina Windows podría explotar estas debilidades para escalar privilegios o causar una condición de denegación de servicio (DoS). Esto es posible debido a que BioNTdrv.sys está firmado por Microsoft, lo que podría facilitar un ataque conocido como Bring Your Own Vulnerable Driver (BYOVD) en sistemas donde el controlador no está instalado, permitiendo a los atacantes obtener privilegios elevados y ejecutar código malicioso.
Las versiones afectadas del controlador son la 1.3.0 y la 1.5.1, y las vulnerabilidades específicas incluyen:
- CVE-2025-0285: Una vulnerabilidad de mapeo arbitrario de memoria del kernel debido a la falta de validación de la longitud de los datos suministrados por el usuario.
- CVE-2025-0286: Una vulnerabilidad de escritura arbitraria de memoria del kernel por la misma razón, permitiendo la ejecución de código arbitrario.
- CVE-2025-0287: Una desreferenciación de puntero nulo que permite la ejecución de código arbitrario en el kernel.
- CVE-2025-0288: Una vulnerabilidad de movimiento arbitrario de memoria debido a la falta de saneamiento de la entrada controlada por el usuario.
- CVE-2025-0289: Un acceso inseguro a recursos del kernel que permite a los atacantes comprometer el servicio afectado.
Paragon Software ha abordado estas vulnerabilidades con la versión 2.0.0 del controlador, y la versión susceptible ha sido añadida a la lista de bloqueo de controladores de Microsoft. Este desarrollo llega poco después de que Check Point revelara detalles de una campaña de malware a gran escala que aprovechaba otro controlador vulnerable de Windows asociado con el producto de Adlice (truesight.sys) para evadir la detección y desplegar el malware Gh0st RAT.
Este incidente subraya la importancia de mantener los sistemas y controladores actualizados para protegerse contra vulnerabilidades conocidas y ataques de ransomware. La seguridad informática es un campo en constante evolución, y estar al tanto de las últimas amenazas y vulnerabilidades es crucial para proteger nuestros datos y sistemas.