공격자들, 이 취약점 통해 윈도우 시스템에서 시스템 권한 획득하는 제로데이 공격 수행한 것으로 분석돼
마이크로소프트가 최근 파라곤 소프트웨어(Paragon Software)의 파라곤 파티션 매니저(Paragon Partition Manager)에서 사용되는 BioNTdrv.sys 드라이버의 심각한 보안 취약점을 발견하고 이를 패치했다고 경고했다.
이번에 보고된 다섯 가지 취약점 중 CVE-2025-0289가 랜섬웨어 조직에 의해 악용된 것으로 확인됐다. 공격자들은 이 취약점을 통해 윈도우 시스템에서 SYSTEM 권한을 획득하는 제로데이(Zero-Day) 공격을 수행한 것으로 분석됐다.
이 소프트웨어는 파라곤 소프트웨어에서 개발한 디스크 파티션 관리 소프트웨어로, 하드 드라이브의 파티션을 생성, 조정, 삭제 및 변환할 수 있는 기능을 제공한다.
문제가 된 BioNTdrv.sys 드라이버는 해당 제품에서 하드 드라이브 파티션을 관리하는 핵심 커널 수준 드라이버로, 데이터를 관리하기 위해 높은 권한을 필요로 한다. 마이크로소프트 연구진이 분석한 결과, 해당 드라이버에는 총 다섯 가지 취약점이 존재하는 것으로 드러났다.
-CVE-2025-0288: 버전 7.9.1에서 발견된 임의 커널 메모리 쓰기 취약점으로, memmove 함수가 사용자 입력값을 적절히 검증하지 않아 공격자가 커널 메모리를 조작할 수 있다. 이를 악용하면 권한 상승이 가능하다.
-CVE-2025-0287: 버전 7.9.1에서 확인된 널 포인터 역참조(null pointer dereference) 취약점으로, 입력 버퍼 내 MasterLrp 구조체가 유효하지 않은 경우 공격자가 임의의 커널 코드를 실행할 수 있다.
-CVE-2025-0286: 버전 7.9.1의 임의 커널 메모리 쓰기 취약점으로, 사용자 제공 데이터의 길이를 적절히 검증하지 않아 공격자가 피해자 시스템에서 임의 코드 실행이 가능하다.
-CVE-2025-0285: 버전 7.9.1의 임의 커널 메모리 매핑 취약점으로, 사용자 입력값 검증이 부실해 공격자가 커널 메모리 매핑을 조작하고 권한을 상승시킬 수 있다.
-CVE-2025-0289: 버전 17에서 발견된 보안 취약점으로, MappedSystemVa 포인터를 검증하지 않고 HalReturnToFirmware 함수로 전달하는 과정에서 공격자가 커널 리소스를 손상시킬 수 있다.
이 가운데 CVE-2025-0289는 랜섬웨어 조직이 BYOVD(Bring Your Own Vulnerable Driver) 기법을 활용해 SYSTEM 수준 권한을 획득하는 데 악용한 사례가 확인됐다. BYOVD는 공격자가 취약한 드라이버를 시스템에 직접 설치해 이를 악용하는 방식으로, 피해자가 해당 프로그램을 설치하지 않았더라도 공격이 가능하다.
마이크로소프트는 CVE-2025-0289가 랜섬웨어 조직에 의해 적극적으로 활용되고 있다고 경고했다. 공격자는 이 취약점을 통해 SYSTEM 권한을 획득하고 추가 악성 코드 실행이 가능해진다. 특히 이 드라이버가 마이크로소프트의 서명을 받은 상태로 유통된 점이 문제로 지적됐다. 해당 취약점을 악용한 공격자는 권한 상승뿐만 아니라 서비스 거부(DoS) 공격까지 실행할 수 있는 것으로 나타났다.
현재 파라곤 소프트웨어는 문제를 해결하기 위해 BioNTdrv.sys 2.0.0 버전을 배포했다. 이 제품 사용자나 기관은 관련 제품을 최신 버전으로 업데이트해야 한다.
마이크로소프트는 윈도우의 취약 드라이버 차단 목록(Vulnerable Driver Blocklist)을 업데이트해 해당 드라이버의 로딩을 차단하고 있다. 윈도우 11 사용자의 경우 기본적으로 이 기능이 활성화되어 있어 보호 조치가 적용된다.
![우크라이나軍 무인기에 파괴된 북한제 ‘170㎜ 자주포’ 성능은[이현호 기자의 밀리터리!톡]](https://newsimg.sedaily.com/2025/03/02/2GQ396Q0QE_1.gif)