BYOVDは、Bring Your Own Vulnerable Driverです。
これは、サイバー攻撃者が脆弱性のあるドライバを標的環境内に自ら持ち込み、これを不正利用することで、セキュリティ製品の停止や権限昇格など様々な目的を達成するサイバー攻撃の手口の1つです。
私物のPCやモバイル機器を利用し業務を行うBYOD(Bring Your Own Device)になぞらえて命名されたものです。
Paragon Partition Managerというソフトウェアに含まれるドライバーの脆弱性を悪用する脅威活動が観測されています。
確認された脆弱性は次のものです。
- CVE-2025-0288
「memmove」関数の不適切な処理によって任意のカーネルメモリ書き込みが発生し、攻撃者がカーネルメモリに書き込み、権限を昇格できるようになります。 - CVE-2025-0287
入力バッファ内の「MasterLrp」構造の検証が欠落しているために Null ポインタ参照が発生し、任意のカーネル コードの実行が可能になります。 - CVE-2025-0286
ユーザーが指定したデータ長の検証が不適切であったために任意のカーネルメモリ書き込みが発生し、攻撃者が任意のコードを実行できる可能性があります。 - CVE-2025-0285
ユーザーが提供したデータの検証に失敗したために任意のカーネル メモリ マッピングが発生し、カーネル メモリ マッピングを操作することで権限の昇格が可能になります。 - CVE-2025-0289
「MappedSystemVa」ポインターを「HalReturnToFirmware」に渡す前に検証できなかったためにカーネル リソース アクセスが安全でなくなり、システム リソースが侵害される可能性があります。
これらは、いずれも古いParagon Partition Managerに含まれるドライバーの脆弱性です。
しかし、古いParagon Partition Managerの脆弱性ということなら、手元の環境ではParagon Partition Managerを利用していないので大丈夫だろう、とはなりません。
攻撃者は脆弱性のあるドライバーを自身で持ち込んで悪用するように操作しますので、その対象のソフトウェアが手元環境にインストールされていないから安全とはならないのです。
脆弱なドライバーは、過去にはそれが通常にリリースされていた正規のドライバーであるため、Microsoftの正式な署名がなされた状態になっています。
では、こういった場合どう対応できるのでしょうか。
Windows11では、これに対応することのできる機能が実装されています。
「設定→プライバシーとセキュリティ→Windowsセキュリティ→デバイスセキュリティ→コア分離→Microsoftの脆弱なドライバーのブロックリスト」機能で脆弱なドライバーが読み込まれることを防ぐことができます。
この機能は通常有効になっています。
適切にWindows Updateが実施されていることで、この機能の利用する情報も新しい状態に保つことができます。
基本的な活動としてのパッチ適用とそのケイデンスの適切さの重要性を再認識しました。
Paragon Partition Manager contains five memory vulnerabilities within its BioNTdrv.sys driver that allow for privilege escalation and denial-of-service (DoS) attacks
https://kb.cert.org/vuls/id/726882
| この記事をシェア |
|
|---|
