84/68 (IT) ประจำวันจันทร์ที่ 3 มีนาคม 2568
Microsoft เตือนว่ากลุ่ม Ransomware กำลังใช้ช่องโหว่ Zero-day ในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager เพื่อโจมตีระบบและยกระดับสิทธิ์เป็นระดับ SYSTEM โดยช่องโหว่ CVE-2025-0289 เป็นหนึ่งในห้าช่องโหว่ที่พบในไดรเวอร์เวอร์ชันที่เก่ากว่า 2.0.0 ซึ่งเปิดโอกาสให้แฮกเกอร์ใช้เทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อติดตั้งไดรเวอร์ที่มีช่องโหว่และเข้าควบคุมระบบ แม้ว่าผู้ใช้จะไม่ได้ติดตั้งซอฟต์แวร์ดังกล่าวก็ตาม โดยช่องโหว่ที่พบมี 5 รายการ ได้แก่
– CVE-2025-0288 – ช่องโหว่การเข้าถึงหน่วยความจำเคอร์เนลโดยพลการ อันเกิดจากฟังก์ชัน memmove ที่ไม่กรองค่าป้อนเข้า ซึ่งเปิดโอกาสให้แฮกเกอร์เขียนข้อมูลลงหน่วยความจำเคอร์เนล
– CVE-2025-0287 – ช่องโหว่ Null Pointer Dereference อันเกิดจากโครงสร้าง MasterLrp ที่ไม่มีค่าที่ถูกต้อง ส่งผลให้แฮกเกอร์สามารถรันโค้ดอันตรายในเคอร์เนล
– CVE-2025-0286 – ช่องโหว่การเขียนหน่วยความจำเคอร์เนลโดยพลการ จากการตรวจสอบความยาวข้อมูลที่ไม่เหมาะสม ซึ่งช่วยให้แฮกเกอร์สามารถรันโค้ดอันตรายได้
– CVE-2025-0285 – ช่องโหว่การแมปหน่วยความจำเคอร์เนลโดยพลการ ที่สามารถถูกใช้เพื่อยกระดับสิทธิ์
– CVE-2025-0289 – ช่องโหว่การเข้าถึงทรัพยากรเคอร์เนลที่ไม่ปลอดภัย อันเกิดจากการไม่ตรวจสอบพอยน์เตอร์ MappedSystemVa ก่อนส่งไปยัง HalReturnToFirmware ซึ่งอาจทำให้แฮกเกอร์ยึดครองบริการสำคัญในระบบ
Paragon Software ได้ออกแพตช์ BioNTdrv.sys เวอร์ชัน 2.0.0 เพื่อแก้ไขช่องโหว่ทั้งหมด พร้อมแนะนำให้เปิดใช้งาน Windows Vulnerable Driver Blocklist เพื่อป้องกันไดรเวอร์เวอร์ชันเก่าถูกใช้โจมตี โดย Windows 11 เปิดใช้งานฟีเจอร์นี้โดยอัตโนมัติ ผู้ใช้และองค์กรควรอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุด และเฝ้าระวังพฤติกรรมผิดปกติในระบบ เช่น การยกระดับสิทธิ์ที่ไม่ได้รับอนุญาต
