Kant's IT/Vulnerability

Paragon Partition Manager 보안 취약점, 권한 상승 및 서비스 거부(DoS) 공격 가능

Kant Jo 2025. 3. 23. 19:27

Paragon Partition Manager Vulnerabilities Allow Attackers to Escalate Privileges and Trigger DoS Attacks

 

Hackers Exploit Paragon Partition Manager Driver Vulnerability in Ransomware Attacks

 

CERT/CC Vulnerability Note VU#726882

 

CERT Coordination Center

The Vulnerability Notes Database provides information about software vulnerabilities.

www.kb.cert.org

 

  • Paragon Partition Manager의 BioNTdrv.sys 드라이버에서 5개의 보안 취약점 발견
    • 버전 2.0.0 이전의 BioNTdrv.sys 드라이버에서 발생
    • 권한 상승 및 서비스 거부(DoS) 공격 가능
    • Microsoft의 Bring Your Own Vulnerable Driver(BYOVD) 기법을 이용한 랜섬웨어 공격 사례 발견
    • 취약한 드라이버는 Microsoft의 취약한 드라이버 차단 목록(Vulnerable Driver Blocklist)에 추가됨
  • 주요 취약점 및 영향
    • CVE-2025-0285 (임의 커널 메모리 매핑 취약점)
      • 버전 7.9.1에서 발생
      • 사용자 입력 데이터 길이를 검증하지 않아 공격자가 커널 권한 상승 가능
    • CVE-2025-0286 (임의 커널 메모리 쓰기 취약점)
      • 버전 7.9.1에서 발생
      • 사용자 입력을 적절히 검증하지 않아 공격자가 커널에서 임의 코드 실행 가능
    • CVE-2025-0287 (널 포인터 역참조 취약점)
      • 버전 7.9.1에서 발생
      • 입력 버퍼에서 유효한 MasterLrp 구조체가 없을 경우 공격자가 커널 코드 실행 가능
    • CVE-2025-0288 (임의 커널 메모리 조작 취약점)
      • 버전 7.9.1에서 발생
      • memmove 함수가 사용자 입력을 적절히 검증하지 않아 공격자가 커널 메모리 수정 가능
    • CVE-2025-0289 (커널 자원 접근 취약점)
      • 버전 17에서 발생
      • MappedSystemVa 포인터를 검증하지 않고 HalReturnToFirmware 함수에 전달하여 공격자가 시스템을 손상 가능
      • Microsoft는 해당 취약점이 BYOVD 랜섬웨어 공격에 활용되고 있음을 관찰
  • 공격 방식
    • 공격자는 취약한 BioNTdrv.sys 드라이버를 악용해 SYSTEM 권한을 획득
    • 이 권한을 통해 악성 코드 실행, 데이터 변경 및 삭제, 랜섬웨어 배포 가능
    • 해당 취약점은 Paragon Partition Manager가 설치되지 않은 시스템에서도 BYOVD 기법으로 악용 가능
    • 공격자가 취약한 드라이버를 직접 설치해 보안 우회를 시도
  • 보안 권고
    • Paragon Software는 BioNTdrv.sys 버전 2.0.0 이하에 대해 해당 취약점을 패치 권고
    • Microsoft는 취약한 드라이버를 Windows 취약한 드라이버 차단 목록에 추가
    • Windows 11에서는 기본적으로 해당 차단 목록이 활성화됨
    • Windows 10, Windows Server 사용자는 Vulnerable Driver Blocklist 활성화 확인 필수
    • Paragon Partition Manager 사용자 및 기업은 최신 버전(17.45.0 이상)으로 업데이트 필수
    • 64비트 Windows 10, 11, Windows Server 2016/2019/2022/2025 사용자는 보안 패치 적용
  • 결론
    • 해당 취약점은 권한 상승 및 랜섬웨어 배포에 악용될 가능성이 높아 긴급 조치 필요
    • Paragon Partition Manager 사용자뿐만 아니라, 해당 드라이버를 설치할 수 있는 BYOVD 공격 기법을 방어하기 위해 보안 조치 필수
    • Microsoft 보안 설정에서 취약한 드라이버 차단 목록(Vulnerable Driver Blocklist) 활성화 확인
    • 기업 환경에서는 취약점 관리 및 Windows 보안 정책 점검 필수
저작자표시 비영리 변경금지

'Kant's IT > Vulnerability' 카테고리의 다른 글

F5 보안 플랫폼 'BIG-IP' 커맨드 인젝션 취약점(CVE-2025-20029)  (0) 2025.03.24
Windows Hyper-V 시스템 권한 상승 취약점 PoC 공개 (CVE-2025-21333)  (0) 2025.03.23
CISA, 신규 악용 취약점 목록에 다수의 보안 취약점 추가(2025.03.04)  (0) 2025.03.17
GitLab 취약점, 보안 우회 및 악성 스크립트 실행 가능성 발견  (0) 2025.03.15
PolarEdge 봇넷, Cisco 및 기타 취약점 악용하여 ASUS, QNAP, Synology 장비 감염  (0) 2025.03.15

'Kant's IT/Vulnerability'의 다른글

  • 현재글Paragon Partition Manager 보안 취약점, 권한 상승 및 서비스 거부(DoS) 공격 가능

관련글

티스토리툴바