Microsoftの署名が入ったドライバ ランサム攻撃の入り口になる

デバイスドライバの脆弱性を利用した攻撃は危険だ。すぐさまOSのカーネルを利用してセキュリティ対策を回避してしまうからだ。そのような最新の事例を紹介する。

[Rob Wright，Cybersecurity Dive]

　HDDなどのバックアップサービスなどを提供するParagon Softwareのデバイスドライバ（ドライバ）のゼロデイ脆弱（ぜいじゃく）性が、ランサムウェア攻撃を招いた。

　問題なのはこのドライバにはMicrosoftの署名が入っていたことだ。既にランサムウェア攻撃に悪用されている。

Microsoftの署名が入ったドライバ　ランサム攻撃の入り口になる

　この脆弱性はどの程度危険なのだろうか。

　インターネットセキュリティ分野の研究センターCERT Coordination Center（CERT/CC）は2025年2月28日（現地時間）にセキュリティ勧告を発表した。それによると、Paragon Softwareの「Paragon Partition Manager」のドライバ「BioNTdrv.sys」に5つの脆弱性が発見された。

　攻撃者はすでに脆弱性のうちの1つを悪用し、署名済みドライバを利用してシステムを侵害して、検知を回避するBYOVD（Bring Your Own Vulnerable Driver）攻撃を実行中だ。

BYOVD攻撃から自社を守るには

　BYOVD攻撃とは脆弱性を持つ正規のドライバを利用して、システムのカーネルに不正にアクセス後、セキュリティ対策を回避する攻撃手法だ。

　この攻撃はどのようにして始まるのだろうか。攻撃者はまず脆弱なデバイスドライバを企業や組織のネットワークに持ち込んだり、既存のドライバの脆弱性を利用したりして内部ネットワークへの侵入を試みる。

　多くのドライバはOSの最も特権の高いレベル（リング0）で実行されるため、攻撃者はこの特権を利用して、セキュリティソフトウェアを無効化したり、システムの動作を変更したりすることが可能になる。その結果、機密情報を窃取されたり、次の攻撃の種を埋め込まれたりする。

どのような対策があるのか

　今回のように脆弱性が公開されている場合は、ベンダーの更新リリースやパッチを適用すればよい。

　脆弱性の発表や攻撃の予兆以前にできることもある。まずは定期的なセキュリティアップデートだ。システムを最新の状態に保ち、既知の脆弱性を修正する。セキュリティ監視を強化して、ドライバのロードや異常な動作を検出するためのEDR（Endpoint Detection and Response）ソリューションを導入することも良い。ただし、本文で触れたようにEDRを無効化する攻撃もあるため、侵入されることを前提に考えて、ネットワーク異常検知システム（NIDS）を導入することが望ましい（キーマンズネット編集部）。

　勧告によると、「CVE-2025-0289」として追跡されている脆弱性は、標的のデバイス上で特権昇格やDoS攻撃を実行するために悪用される可能性がある。安全ではないカーネルリソースアクセスに関連する脆弱性だ。

Paragonのソフトを使っていなくても危険

　CERT/CCは、HDDのパーティションを管理してディスクスペースやパフォーマンスを最適化する「Paragon Partition Manager」がインストールされていないWindowsのデバイスにおいてもこの脆弱性が実行可能だと警告した。

　CERT/CCは、勧告の中で次のように述べた。

　「攻撃者『TA』がBYOVD攻撃において、この脆弱性を悪用していることをMicrosoftが確認した。特に、CVE-2025-0289を悪用し、システムレベルの特権を取得した上で、さらなる悪質なコードを実行している。これらの脆弱性はParagon Softwareによって修正され、また、BioNTdrv.sysの脆弱なバージョンは、Microsoftの『脆弱なドライバーブロックリスト』によってブロックされている」

　脆弱なドライバーブロックリストは「Windows 11」のバージョン22H2以降では、全てのデバイスに対してデフォルトで有効になっている。逆に言えば、標準で導入されている「Windows 10」では有効にはなっていない。

ランサムウェアの種類は明らかになっていない

　これらの攻撃で使用されたランサムウェアの種類は不明だ。「Cybersecurity Dive」はMicrosoftに対し、悪用の内容についてコメントを求めたが、同社はこれ以上のコメントを控えた。

　CERT/CCの勧告には問題のドライバに存在する他の4つの脆弱性も含まれている。特権昇格を引き起こす可能性のある任意のカーネルメモリに関連する脆弱性「CVE-2025-0288」や、特権昇格を可能にするヌルポインタ参照の脆弱性「CVE-2025-0287」、任意のコード実行を可能にするカーネルメモリの書き込みに関連する脆弱性「CVE-2025-0286」、特権昇格を可能にする任意のカーネルメモリマッピングに関連する脆弱性「CVE-2025-0285」だ。

　CERT/CCによると、ドライバに関連する5つの脆弱性を発見したのは、Microsoftだという。

　Paragon Softwareは2025年2月28日に、BioNTdrv.sysに関するパッチをリリースしたが、セキュリティ勧告には脆弱性についての記載がなく、悪用に関する言及もなかった。同社はユーザーに対して、Microsoftのセキュリティガイドラインの変更に準拠して、旧バージョンのドライバに関連するセキュリティリスクを排除するためにドライバをアップグレードするよう呼び掛けている。

　Cybersecurity DiveはParagon Softwareに対して、CERT/CCの報告書に関するコメントを求めている。

　ランサムウェアグループは過去にも脆弱なドライバを悪用して、EDR製品を回避してきた。さらに悪質な活動が検知される前にそのプロセスを強制終了する手口も使ってきた。サイバーセキュリティ事業を営むSophosの研究者は2024年に、「RansomHub」と呼ばれるランサムウェアを利用する攻撃者が「EDRKillShifter」と呼ばれるツールを使用していることを発見した。このツールは脆弱なドライバを悪用して、EDRの検出を停止させるとともに、標的システム上で特権を昇格する。

出典：Microsoft-signed driver used in ransomware attacks（Cybersecurity Dive）
注1：CVE-2025-0289（CVE）
注2：Paragon Partition Manager contains five memory vulnerabilities within its BioNTdrv.sys driver that allow for privilege escalation and denial-of-service (DoS) attacks（Carnegie Mellon University）
注3：CVE-2025-0288（CVE）
注4：CVE-2025-0287（CVE）
注5：CVE-2025-0286（CVE）
注6：CVE-2025-0285（CVE）
注7：IMPORTANT! Paragon Driver Security Patch for All Products of Hard Disk Manager Product Line (Biontdrv.sys)（Paragon Software）
注8：RansomHub Rolls Out Brand-New, EDR-Killing BYOVD Binary（Dark Reading）

原文へのリンク