Microsoft签署了一个狡猾的驱动程序,现在勒索软件浮渣正在利用它
在Paragon Partition Manager的内核级别中发现的五个缺陷。SysransomwareCrooks正在利用磁盘管理工具Paragon Partition Manager使用和提供的第三方Windows内核级驱动程序。
来源:The Register _恶意软件勒索软件骗子正在利用磁盘管理工具Paragon Partition Manager使用和提供的第三方Windows内核级驱动程序。
Paragon分区管理器是一种软件工具,允许用户在存储驱动器上创建和管理分区。它具有Microsoft批准的,数字签名的内核级驱动程序Biontdrv.sys,Manager应用程序用于特权的低级访问附件的硬盘驱动器。
事实证明,.SYS具有安全漏洞,而机器上已经在计算机上可以利用这些漏洞,以获得对整个框的系统级控制。不法行为还可以包括勒索软件的驾驶员副本,或者在受损的Windows计算机上手动部署.Sys以充分劫持系统;由于驾驶员是由操作系统签名和信任的,因此允许运行毫无问题。
“由于攻击涉及一个微软签名的驱动程序,攻击者可以利用A带您自己的脆弱驱动程序(BYOVD)技术来利用系统,即使没有安装Paragon Partition Manager”,作为Cert协调中心(CERT/CC),在美国的Cert协调中心(CERT/CC)上周在上周在警告中对其进行了警告。
byovd 警告根据CERT/CC的说法,Paragon分区经理的Biontdrv.sys驾驶员的五个现在固定的安全缺陷之一已被勒索软件的Miscreants滥用。五个漏洞,尚未分配CVSS评级,是: