「Paragon Partition Manager」にゼロデイ脆弱性 ～BYOVDランサムウェア攻撃に悪用

CERT Coordination Centerのセキュリティ情報

　CERT Coordination Centerは2月28日（米国時間）、パーティション編集ツール「Paragon Partition Manager」に含まれるドライバー「BioNTdrv.sys」のv2.0.0より前のバージョンに、5件の脆弱性があることを明らかにした。

• CVE-2025-0288：任意のカーネルメモリを書き込み、権限昇格を引き起こせる
• CVE-2025-0287：ヌルポインター逆参照の脆弱性。攻撃者は任意のカーネルコードを実行でき、特権昇格が可能
• CVE-2025-0286：ユーザーデータ長の検証不備による任意のカーネルメモリ書き込みの脆弱性。任意のコードを実行できてしまう
• CVE-2025-0285：ユーザーデータ長の検証不備による任意のカーネルメモリマッピングの脆弱性。特権昇格につながるおそれ
• CVE-2025-0289：安全でないカーネルリソースアクセスの脆弱性。サービス拒否（DoS）につながるおそれ

　これらの脆弱性は「BYOVD」（Bring Your Own Vulnerable Driver）と呼ばれる攻撃手法に悪用できることが、Microsoftによって確認されている。「BYOVD」は、脆弱性を含む正規のドライバーを用いてシステムを乗っ取る手法で、ランサムウェア攻撃に悪用されていることが確認済み。近年のOSはカーネルモードで動作するドライバーが正規のものであることを保証するためにデジタル署名を要求するが、署名されているドライバーには脆弱性が含まれているものがある。OSがそれを信頼してしまうと、OSのセキュリティ対策を迂回するなどして広範囲に悪影響が及んでしまう。

「Paragon Partition Manager」のセットアップ中にインストールされるドライバー

　「Paragon Partition Manager」の開発元は、これらの脆弱性に対処した新しいドライバー「BioNTdrv.sys」v2.0.0をリリース済みだ。「Paragon Partition Manager」が最新になっているかどうかを確認したい。

　また、今回の脆弱性は「Paragon Partition Manager」がインストールされていなくても、システムに古いドライバーを埋め込むことで悪用が可能。そこでMicrosoftは、脆弱性を含むバージョンの「BioNTdrv.sys」を脆弱なドライバーのブロックリストに加えることで、OSに当該ドライバーが読み込まれることを防止する措置をとっている。脆弱なドライバーのブロックリストが有効になっているかどうかは、「Windows セキュリティ」アプリの［デバイス セキュリティ］－［コア分離］ページで確認が可能だ。

「Windows セキュリティ」アプリの［デバイス セキュリティ］－［コア分離］ページ