Tehdit aktörleri, ayrıcalıkları artırmak ve keyfi kod yürütmek için fidye yazılımı saldırılarında Paragon Bölüm Yöneticisi’nin Biontdrv.sys sürücüsünde bir güvenlik açığından yararlanıyor.
CERT Koordinasyon Merkezi’ne (CERT/CC) göre sıfır gün kusuru (CVE-2025-0289), Microsoft tarafından keşfedilen beş güvenlik açığının bir parçasıdır.
Cert/CC, “Bunlar keyfi çekirdek bellek haritalaması ve yazma güvenlik açıkları, boş işaretçi dereferi, güvensiz çekirdek kaynak erişimi ve keyfi bir bellek hareketi kırılganlığı içerir.” Dedi.
Varsayımsal bir saldırı senaryosunda, bir Windows makinesine yerel erişime sahip bir düşman, Microsoft tarafından “Biontdrv.sys” i imzalanmasından yararlanarak ayrıcalıkları artırmak veya bir hizmet reddi (DOS) durumuna neden olmak için bu eksikliklerden yararlanabilir.
Bu aynı zamanda, sürücünün kurulmadığı sistemlere kendi savunmasız sürücünüzü (BYOVD) saldırınızı getiren şeyin yolunu açabilir, böylece tehdit aktörlerinin yüksek ayrıcalıklar elde etmesine ve kötü amaçlı kod yürütmesine izin verebilir.
Biontdrv.sys sürümleri 1.3.0 ve 1.5.1’i etkileyen güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2025-0285 – Sürüm 7.9.1’de kullanıcı tarafından sağlanan veri uzunluklarını doğrulanamamasının neden olduğu keyfi bir çekirdek bellek eşleme güvenlik açığı. Saldırganlar ayrıcalıkları artırmak için bu kusuru kullanabilir.
- CVE-2025-0286 – Kullanıcı tarafından sağlanan veri uzunluklarının uygunsuz doğrulanması nedeniyle 7.9.1 sürümünde keyfi bir çekirdek bellek yazın. Bu kusur, saldırganların kurbanın makinesinde keyfi kod yürütmesine izin verebilir.
- CVE-2025-0287 – Giriş arabelleğinde geçerli bir masterlrp yapısının olmamasından kaynaklanan sürüm 7.9.1’de boş bir işaretçi ayrımı güvenlik açığı. Bu, bir saldırganın keyfi çekirdek kodu yürütmesine izin vererek ayrıcalık artışını sağlıyor.
- CVE-2025-0288 – Kullanıcı tarafından kontrol edilen girişi sterilize edemeyen Memmove işlevinin neden olduğu 7.9.1 sürüm 7.1’de keyfi bir çekirdek bellek güvenlik açığı. Bu, bir saldırganın keyfi çekirdek belleği yazmasına ve ayrıcalık artışı elde etmesini sağlar.
- CVE-2025-0289 – Sürüm 17’deki Güvensiz Bir Çekirdek Kaynak Erişim Güvenlik Açığı, HalreturntOfirmware’e geçmeden önce MappedSyStemVA işaretçisinin doğrulanamamasından kaynaklanır. Bu, saldırganların etkilenen hizmetten ödün vermesini sağlar.
Güvenlik açıkları o zamandan beri sürücünün 2.0.0 sürümüyle Paragon yazılımı tarafından ele alınmıştır ve sürücünün duyarlı sürümü Microsoft’un sürücü blok listesine eklenmiştir.
Geliştirme, Check Point’in GH0ST Rat Malware’i atlamak ve dağıtmak için Adlice’in ürün paketi (“Truesight.sys”) ile ilişkili başka bir savunmasız Windows sürücüsünden yararlanan büyük ölçekli bir kötü amaçlı yazılım kampanyasının ayrıntılarını ortaya çıkardıktan günler sonra geliyor.