کشف ۵ آسیب‌پذیری در ویندوز توسط مایکروسافت! چگونه سیستم‌های شما در معرض خطر قرار میگیرد؟

در دنیای امنیت سایبری، حملات باج‌افزاری یکی از جدی‌ترین تهدیدات برای کاربران و سازمان‌ها محسوب می‌شوند. به گزارش کارشناس شرکت سحاب، اخیراً گروه‌های باج‌افزار از یک آسیب‌پذیری خطرناک در نرم‌افزار Paragon Partition Manager سوءاستفاده کرده‌اند. این آسیب‌پذیری در حملات BYOVD (آوردن درایور آسیب‌پذیر خودتان) مورد استفاده قرار گرفته است و مهاجمان را قادر می‌سازد تا به سطح دسترسی SYSTEM در سیستم‌های ویندوزی دست یابند. در این مقاله، به بررسی جزئیات این حملات، آسیب‌پذیری‌های کشف شده و راه‌های مقابله با آن‌ها می‌پردازیم.

حملات BYOVD و سوءاستفاده از Paragon Partition Manager

طبق بررسی های متخصصین شرکت سحاب، مایکروسافت اخیراً پنج آسیب‌پذیری خطرناک در درایور BioNTdrv.sys مربوط به نرم‌افزار Paragon Partition Manager کشف کرده است. یکی از این آسیب‌پذیری‌ها، CVE-2025-0289، توسط گروه‌های باج‌افزار در حملات روز صفر (zero-day) مورد سوءاستفاده قرار گرفته است. این حملات به مهاجمان اجازه می‌دهند تا به سطح دسترسی SYSTEM در سیستم‌های ویندوزی دست یابند و کنترل کامل سیستم را در اختیار بگیرند.

حملات BYOVD به این صورت انجام می‌شوند که مهاجمان یک درایور کرنل آسیب‌پذیر را روی سیستم هدف قرار می‌دهند و از آن برای افزایش دسترسی‌های خود استفاده می‌کنند. این تکنیک حتی در سیستم‌هایی که Paragon Partition Manager نصب نشده است نیز قابل اجراست، زیرا مهاجمان درایور آسیب‌پذیر را همراه با ابزارهای خود به سیستم تزریق می‌کنند.

هشدار CERT/CC درباره آسیب‌پذیری‌ها

سازمان CERT/CC در یک هشدار رسمی اعلام کرده است:
"یک مهاجم با دسترسی محلی به دستگاه می‌تواند از این آسیب‌پذیری‌ها برای افزایش دسترسی‌ها یا ایجاد سناریو محرومیت از سرویس (DoS) روی دستگاه قربانی استفاده کند."
علاوه بر این، از آنجا که این حمله شامل یک درایور امضا شده توسط مایکروسافت است، مهاجمان می‌توانند از تکنیک BYOVD برای سوءاستفاده از سیستم‌ها حتی اگر Paragon Partition Manager نصب نشده باشد، استفاده کنند.

جزئیات آسیب‌پذیری‌های کشف شده

محققان مایکروسافت پنج آسیب‌پذیری خطرناک در Paragon Partition Manager کشف کرده‌اند. یکی از این آسیب‌پذیری‌ها، CVE-2025-0289، به‌طور فعال توسط گروه‌های باج‌افزار مورد سوءاستفاده قرار گرفته است. در ادامه، جزئیات این آسیب‌پذیری‌ها را بررسی می‌کنیم:

1. CVE-2025-0288 – نوشتن حافظه کرنل دلخواه به دلیل مدیریت نادرست تابع 'memmove'. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا به حافظه کرنل بنویسند و دسترسی‌های خود را افزایش دهند.

2. CVE-2025-0287 – ارجاع به اشاره‌گر null به دلیل عدم اعتبارسنجی ساختار 'MasterLrp' در بافر ورودی. این مشکل امکان اجرای کد دلخواه در کرنل را فراهم می‌کند.

3. CVE-2025-0286 – نوشتن حافظه کرنل دلخواه به دلیل اعتبارسنجی نادرست طول داده‌های ارائه شده توسط کاربر. این آسیب‌پذیری به مهاجمان اجازه می‌دهد کد دلخواه اجرا کنند.

4. CVE-2025-0285 – نگاشت حافظه کرنل دلخواه به دلیل عدم اعتبارسنجی داده‌های ارائه شده توسط کاربر. این مشکل امکان افزایش دسترسی با دستکاری نگاشت‌های حافظه کرنل را فراهم می‌کند.

5. CVE-2025-0289 – دسترسی ناامن به منابع کرنل به دلیل عدم اعتبارسنجی اشاره‌گر 'MappedSystemVa' قبل از ارسال آن به 'HalReturnToFirmware'. این آسیب‌پذیری می‌تواند منجر به دستکاری منابع سیستم شود.

چهار آسیب‌پذیری اول بر نسخه‌های 7.9.1 و قدیمی‌تر Paragon Partition Manager تأثیر می‌گذارند، در حالی که CVE-2025-0289، که به‌طور فعال مورد سوءاستفاده قرار گرفته است، بر نسخه 17 و قدیمی‌تر تأثیر می‌گذارد.

راه‌حل‌های پیشنهادی

برای محافظت از سیستم‌های خود در برابر این حملات، کاربران باید اقدامات زیر را انجام دهند:

1. ارتقا به آخرین نسخه نرم‌افزار: کاربران Paragon Partition Manager باید به آخرین نسخه این نرم‌افزار ارتقا دهند. این نسخه شامل BioNTdrv.sys نسخه 2.0.0 است که تمامی آسیب‌پذیری‌های ذکر شده را برطرف می‌کند.

2. فعال‌سازی Microsoft Vulnerable Driver Blocklist: مایکروسافت فهرست مسدودسازی درایورهای آسیب‌پذیر خود را به‌روزرسانی کرده است. کاربران می‌توانند با رفتن به مسیر Settings → Privacy & security → Windows Security → Device security → Core isolation → Microsoft Vulnerable Driver Blocklist بررسی کنند که آیا این فهرست فعال است یا خیر.

3. ارتقا Paragon Hard Disk Manager: کاربران این نرم‌افزار نیز باید آن را به‌روزرسانی کنند، زیرا از همان درایور آسیب‌پذیر استفاده می‌کند.