هجمات جديدة باستغلال ثغرة في برنامج Paragon Partition Manager 

هجمات جديدة باستغلال ثغرة في برنامج Paragon Partition Manager 
هجمات جديدة باستغلال ثغرة في برنامج Paragon Partition Manager 
شارك هذا الخبر

قامت مجموعة من القراصنة باستغلال ثغرة أمنية في برنامج Paragon Partition Manager، وتحديدًا في السائق (Driver) المسمى BioNTdrv.sys، وذلك في هجمات برامج الفدية (Ransomware) لرفع الصلاحيات وتنفيذ أكواد ضارة بشكل تعسفي.

الثغرة، التي تحمل الرمز CVE-2025-0289، هي واحدة من خمس ثغرات تم اكتشافها بواسطة شركة مايكروسوفت، وفقًا لما أعلنه مركز تنسيق الاستجابة للطوارئ الحاسوبية (CERT/CC). وتشمل هذه الثغرات:

  • تعيين وكتابة ذاكرة النواة بشكل تعسفي
  • إلغاء الإشارة إلى مؤشر فارغ (Null Pointer Dereference)
  • وصول غير آمن إلى موارد النواة
  • نقل ذاكرة تعسفي

سيناريو هجوم افتراضي
في سيناريو هجوم افتراضي، يمكن لمهاجم لديه وصول محلي إلى جهاز يعمل بنظام ويندوز استغلال هذه الثغرات لرفع الصلاحيات أو التسبب في حالة رفض الخدمة (DoS)، وذلك بالاستفادة من حقيقة أن السائق BioNTdrv.sys موقّع من قبل مايكروسوفت.

هذا الأمر قد يمهد الطريق لما يُعرف بـ هجوم “أحضر سائقك الضعيف” (BYOVD) على الأنظمة التي لا يتم تثبيت السائق فيها، مما يسمح للقراصنة بالحصول على صلاحيات مرتفعة وتنفيذ أكواد ضارة.

قائمة الثغرات المؤثرة على إصدارات BioNTdrv.sys 1.3.0 و 1.5.1:

  1. CVE-2025-0285: ثغرة تعيين ذاكرة النواة بشكل تعسفي في الإصدار 7.9.1 بسبب فشل في التحقق من أطوال البيانات المقدمة من المستخدم. يمكن للمهاجمين استغلال هذه الثغرة لرفع الصلاحيات.
  2. CVE-2025-0286: ثغرة كتابة ذاكرة النواة بشكل تعسفي في الإصدار 7.9.1 بسبب التحقق غير الصحيح من أطوال البيانات المقدمة من المستخدم. تسمح هذه الثغرة بتنفيذ أكواد ضارة على الجهاز الضحية.
  3. CVE-2025-0287: ثغرة إلغاء الإشارة إلى مؤشر فارغ في الإصدار 7.9.1 بسبب عدم وجود هيكل MasterLrp صالح في buffer الإدخال. تمكن هذه الثغرة المهاجم من تنفيذ أكواد نواة تعسفية ورفع الصلاحيات.
  4. CVE-2025-0288: ثغرة ذاكرة نواة تعسفية في الإصدار 7.9.1 بسبب فشل دالة memmove في تعقيم المدخلات التي يتحكم فيها المستخدم. تسمح هذه الثغرة بكتابة ذاكرة نواة تعسفية ورفع الصلاحيات.
  5. CVE-2025-0289: ثغرة وصول غير آمن إلى موارد النواة في الإصدار 17 بسبب فشل في التحقق من مؤشر MappedSystemVa قبل تمريره إلى HalReturnToFirmware. تمكن هذه الثغرة المهاجم من اختراق الخدمة المتأثرة.

الإصلاحات
تمت معالجة هذه الثغرات من قبل شركة Paragon Software في الإصدار 2.0.0 من السائق، كما تم إضافة الإصدار المعرض للثغرات إلى قائمة الحظر الخاصة بمايكروسوفت.

تطورات حديثة
جاء هذا الإعلان بعد أيام من كشف شركة Check Point عن تفاصيل حملة برمجية خبيثة واسعة النطاق استغلت سائقًا ضعيفًا آخر مرتبطًا بمنتج Adlice (“truesight.sys”) لتجاوز الكشف ونشر برنامج Gh0st RAT الضار.

 

وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة