Ransomware Byovd

Microsoft ha identificado cinco vulnerabilidades en el controlador Paragon Partition Manager BioNTdrv.sys, una de las cuales ha sido explotada por bandas de ransomware en ataques de día cero para obtener privilegios de SISTEMA en Windows.

Ataques BYOVD: Un riesgo creciente en Windows

Los atacantes han utilizado los controladores vulnerables en ataques "Bring Your Own Vulnerable Driver" (BYOVD), una técnica en la que los ciberdelincuentes instalan un controlador del kernel en un sistema objetivo para elevar sus privilegios y ejecutar código malicioso.

"Un atacante con acceso local a un dispositivo puede explotar estas vulnerabilidades para escalar privilegios o causar una denegación de servicio (DoS) en la máquina de la víctima", alertó CERT/CC. "Dado que el ataque involucra un controlador firmado por Microsoft, un atacante puede aprovechar la técnica BYOVD incluso si Paragon Partition Manager no está instalado".

Dado que BioNTdrv.sys es un controlador a nivel de kernel, los ciberdelincuentes pueden explotar estas fallas para ejecutar comandos con privilegios elevados, eludiendo las protecciones de seguridad y los sistemas antivirus.

Vulnerabilidad explotada en ataques de ransomware

Microsoft descubrió cinco fallas, incluyendo CVE-2025-0289, utilizada en ataques de ransomware BYOVD para escalar privilegios al nivel de SISTEMA y ejecutar código malicioso. Aunque Microsoft no ha especificado qué bandas de ransomware han explotado esta falla, se sabe que actores como Scatter Spider, Lazarus, BlackByte y LockBit han empleado ataques BYOVD en el pasado.

Detalle de las vulnerabilidades encontradas

Las cinco vulnerabilidades identificadas son:

• CVE-2025-0288: Escritura arbitraria en la memoria del kernel debido a un manejo incorrecto de la función 'memmove', permitiendo escalamiento de privilegios.
• CVE-2025-0287: Desreferencia de puntero nulo por falta de validación en una estructura 'MasterLrp', permitiendo ejecución de código de kernel arbitrario.
• CVE-2025-0286: Escritura arbitraria de memoria del kernel por validación incorrecta de longitudes de datos proporcionados por el usuario, permitiendo ejecución de código.
• CVE-2025-0285: Asignación arbitraria de memoria del kernel, permitiendo escalada de privilegios mediante manipulación de asignaciones de memoria.
• CVE-2025-0289: Acceso inseguro a recursos del kernel debido a validación inadecuada del puntero 'MappedSystemVa', comprometiendo los recursos del sistema.

Las primeras cuatro vulnerabilidades afectan a Paragon Partition Manager v7.9.1 y anteriores, mientras que CVE-2025-0289 afecta a la versión 17 y anteriores.

Medidas de mitigación y protección

Se recomienda actualizar a la última versión del software, que incluye BioNTdrv.sys v2.0.0, la cual corrige todas las vulnerabilidades. No obstante, incluso si Paragon Partition Manager no está instalado, los ataques BYOVD siguen siendo una amenaza, ya que los ciberdelincuentes pueden incluir el controlador vulnerable en sus propios paquetes maliciosos.

Microsoft ha actualizado su "Lista de bloqueo de controladores vulnerables" para evitar la carga de BioNTdrv.sys en Windows. Para verificar que esta protección esté activa, los usuarios deben ir a:

Configuración → Privacidad y seguridad → Seguridad de Windows → Seguridad del dispositivo → Aislamiento principal → Lista de bloqueo de controladores vulnerables de Microsoft y asegurarse de que esté habilitada.


Paragon Software también ha emitido una advertencia recomendando la actualización de Paragon Hard Disk Manager, ya que también utiliza el controlador vulnerable.

Creciente uso de ataques BYOVD en ransomware

El uso de ataques BYOVD está en aumento, ya que permite a los ciberdelincuentes obtener privilegios elevados en dispositivos Windows con facilidad. Grupos de amenazas conocidos como Scatter Spider, Lazarus, BlackByte y LockBit han empleado esta técnica en diversas campañas maliciosas.

Dada la gravedad de estas vulnerabilidades, se recomienda a usuarios y empresas implementar medidas de seguridad adicionales, incluyendo la actualización constante del software y el monitoreo de actividad sospechosa en sus sistemas.

En fin, las vulnerabilidades en Paragon Partition Manager representan un riesgo significativo para la seguridad de los sistemas Windows, especialmente debido al uso de ataques BYOVD por parte de bandas de ransomware. La aplicación de parches de seguridad y la activación de la lista de bloqueo de controladores vulnerables son pasos clave para mitigar esta amenaza y proteger la integridad de los dispositivos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta