🕵‍♂️ Уязвимый драйвер Paragon = входной билет для хакеров в Windows

🔑 Исследователи Microsoft выявили пять уязвимостей в драйвере BioNTdrv.sys, используемом программой Paragon Partition Manager. Одна из них (CVE-2025-0289) уже активно применяется вымогательскими группировками для получения привилегий уровня SYSTEM в Windows.

💀 Злоумышленники используют методику BYOVD, внедряя уязвимый драйвер на атакуемое устройство даже если Paragon Partition Manager не установлен. Благодаря тому, что драйвер подписан Microsoft, атакующие могут обходить защитные механизмы и выполнять команды с максимальными привилегиями.

🛑 Для защиты от атак необходимо активировать опцию «Список заблокированных уязвимых драйверов» в параметрах Windows. Пользователям программ Partition Manager и Hard Disk Manager от Paragon следует обновиться до последней версии с исправленным драйвером BioNTdrv.sys 2.0.0.

#кибербезопасность #уязвимости #Windows #BYOVD

🛡Как эффективно ослепить Касперского и еще 58 антивирусов

Атака в начале февраля 2026 года наглядно продемонстрировала, насколько уязвим периметр, если он защищен только паролем. Получив доступ через SonicWall, преступники не стали рассылать фишинг, а занялись методичной подготовкой плацдарма. Их целью была полная нейтрализация всех эшелонов защиты на конечных точках. В современных реалиях это делается через легальные инструменты с известными уязвимостями, которые система считает доверенными.

Главным калибром выступил уязвимый драйвер из криминалистического софта EnCase. Особенность архитектуры Windows такова, что проверка подписи на раннем этапе загрузки часто игнорирует статус отзыва сертификата. Это позволило хакерам создать системную службу, которая методично убивала процессы защиты. Касперский, SentinelOne и даже встроенный Defender отключались каждую секунду, не успевая отправить уведомление в консоль админа. Чтобы не привлекать внимания, вредонос маскировался под системные обновления и подменял временные метки файлов.

Проблема носит системный характер и требует от администраторов перехода к модели нулевого доверия даже на уровне системных компонентов. Маскировка вредоносного контента под обычный словарь слов лишь подтверждает, что злоумышленники адаптируются быстрее, чем развиваются статические сканеры. Сейчас критически важно включать контроль целостности памяти и проверять логи входа в VPN, иначе Вы рискуете узнать о взломе слишком поздно.

#Кибербезопасность #BYOVD #ИБ

SecurityLab в Telegram | MAX | Поддержите нас «бустами»