Microsoft ha descubierto cinco vulnerabilidades en el controlador BioNTdrv.sys de Paragon Partition Manager, una de las cuales está siendo explotada por bandas de ransomware en ataques de día cero para obtener privilegios de SYSTEM en Windows.
¿Cómo funciona el ataque?
Los atacantes utilizan la técnica BYOVD (Bring Your Own Vulnerable Driver), que consiste en inyectar un controlador vulnerable en el sistema para elevar privilegios.
Según una alerta del CERT/CC, un atacante con acceso local a un dispositivo puede explotar estas vulnerabilidades para:
✅ Escalar privilegios y obtener control total del sistema.
❌ Provocar una denegación de servicio (DoS) en la máquina víctima.
Además, como el ataque involucra un controlador firmado por Microsoft, los atacantes pueden explotar el sistema incluso si Paragon Partition Manager no está instalado.
Al ser un controlador a nivel de kernel, BioNTdrv.sys permite a los atacantes ejecutar comandos con los mismos privilegios que el controlador, eludiendo protecciones y software de seguridad.
Vulnerabilidades descubiertas
Microsoft identificó las siguientes fallas en Paragon Partition Manager:
| CVE | Descripción |
|---|---|
| CVE-2025-0288 | Escritura arbitraria en memoria del kernel debido a una manipulación incorrecta de la función ‘memmove’. Permite escalada de privilegios. |
| CVE-2025-0287 | Referencia de puntero nulo por falta de validación en la estructura ‘MasterLrp’, lo que permite ejecución de código en el kernel. |
| CVE-2025-0286 | Escritura arbitraria en memoria del kernel por validación incorrecta de datos proporcionados por el usuario. Facilita ejecución de código. |
| CVE-2025-0285 | Mapeo arbitrario de memoria del kernel por falta de validación de datos, permitiendo manipulación de la memoria del sistema. |
| CVE-2025-0289 | Acceso inseguro a recursos del kernel al no validar el puntero ‘MappedSystemVa’. Usado en ataques para comprometer recursos del sistema. |
La vulnerabilidad CVE-2025-0289 es la que está siendo activamente explotada por bandas de ransomware en ataques BYOVD.
Solución y mitigación
✔ Actualizar Paragon Partition Manager a la última versión, que incluye BioNTdrv.sys v2.0.0, donde estas vulnerabilidades ya fueron corregidas.
✔ Habilitar la “Vulnerable Driver Blocklist” de Microsoft, que bloquea la ejecución de este controlador en Windows.
¿Cómo activar la protección en Windows? ️
Para verificar si la lista de controladores vulnerables está activada:
1️⃣ Ir a: Configuración → Privacidad y seguridad → Seguridad de Windows
2️⃣ Seleccionar: Seguridad del dispositivo → Aislamiento del núcleo
3️⃣ Habilitar: Microsoft Vulnerable Driver Blocklist
⚠ IMPORTANTE: Incluso si NO tienes instalado Paragon Partition Manager, puedes ser víctima de este ataque, ya que los ciberdelincuentes inyectan el controlador en el sistema.
Mafías de ransomware utilizando ataques BYOVD
Los ataques BYOVD son cada vez más populares entre los ciberdelincuentes, ya que permiten obtener privilegios de SYSTEM en Windows de manera sencilla.
Entre las bandas de ransomware que han usado esta técnica se encuentran:
- Scattered Spider
- Lazarus Group
- BlackByte Ransomware
- LockBit Ransomware
- Otros grupos criminales avanzados
Se se quieren prevenir estos ataques, es crucial activar la lista de bloqueo de controladores vulnerables en Windows y mantener el software actualizado.