Microsoft identifica cinco ataques potencialmente dañinos contra su propio software.
Se ha descubierto que ciertos controladores y software de Windows supuestamente fueron utilizados en ataques de día cero.
Microsoft ha lanzado parches para Paragon Partition Manager tras identificar cinco vulnerabilidades en un controlador de nivel kernel. Una de estas fallas estuvo siendo utilizada activamente para distribuir ransomware, lo que pone en evidencia la gravedad del problema. Cabe destacar que el controlador vulnerable puede ser aprovechado incluso si el gestor de particiones no está instalado en el sistema.
Los atacantes están utilizando un controlador de Windows que presenta vulnerabilidades para escalar privilegios mediante software de Microsoft, lo que podría facilitar ataques de ransomware a través de exploits de día cero. Microsoft confirmó la existencia de estas vulnerabilidades al añadir la versión afectada del controlador a su lista de controladores vulnerables, además de haber corregido las fallas y recomendar a los usuarios que apliquen las actualizaciones de inmediato.
Las vulnerabilidades se encontraban en BioNTdrv.sys, un controlador de nivel kernel asociado al software Paragon Partition Manager. Los ciberdelincuentes que logran acceder a un punto final pueden utilizar este controlador (si el software está presente) o instalarlo para alcanzar privilegios de sistema en Windows, que son aptos para llevar a cabo ataques de ransomware.
Según el CERT/CC, "un atacante que tenga acceso local a un dispositivo puede explotar estas vulnerabilidades para escalar privilegios o provocar una denegación de servicio (DoS) en la máquina de la víctima". Además, como el ataque implica un controlador firmado por Microsoft, un atacante podría utilizar una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD) para explotar los sistemas, incluso si Paragon Partition Manager no está instalado.
Microsoft indicó que cuatro de las vulnerabilidades afectan a las versiones 7.9.1 y anteriores de Paragon Partition Manager, mientras que la quinta, identificada como CVE-2025-0298, impacta a la versión 17 y anteriores, siendo esta última la que aparentemente estaba en uso en los ataques de ransomware. Por esto, se sugiere a los usuarios actualizar el software a la última versión, que incluye BioNTdrv.sys versión 2.0.0.
Además de actualizar, se recomienda a los usuarios verificar si la lista de bloqueos está activada. Para ello, deben acceder a Configuración - Privacidad y seguridad - Seguridad de Windows - Seguridad del dispositivo - Aislamiento del núcleo - Lista de controladores vulnerables de Microsoft y asegurarse de que esté habilitada.
