Microsoft, Windows’ta sistem ayrıcalıkları kazanmak için fidye yazılımı çeteleri tarafından sıfır gün saldırılarında kullanılan beş paragon bölüm müdürü Biontdrv.sys sürücü kusurlarını keşfetti.
Savunmasız sürücüler, ‘kendi savunmasız sürücünüzü getir’ (BYOVD) saldırılarında, tehdit aktörlerinin ayrıcalıkları yükseltmek için hedeflenen bir sistemde çekirdek sürücüsünü düşürdüğü saldırılarda kullanıldı.
CERT/CC’den bir uyarı, “Bir cihaza yerel erişimi olan bir saldırgan, ayrıcalıkları artırmak veya kurbanın makinesinde bir hizmet reddi (DOS) senaryosuna neden olmak için bu güvenlik açıklarından yararlanabilir.”
“Ayrıca, saldırı Microsoft imzalı bir sürücü içerdiğinden, bir saldırgan, Paragon bölüm yöneticisi yüklenmemiş olsa bile sistemlerden yararlanmak için kendi savunmasız sürücünüzü (BYOVD) tekniğinizi getirebilir.”
Biontdrv.sys çekirdek düzeyinde bir sürücü olduğundan, tehdit aktörleri, sürücü ile aynı ayrıcalıklarla komutları yürütmek, korumaları ve güvenlik yazılımını atlayarak güvenlik açıklarından yararlanabilir.
Microsoft araştırmacıları, beş kusurun hepsini keşfetti, bunlardan biri olan CVE-2025-0289’un fidye yazılımı gruplarının saldırılarında kullanıldığını belirtti. Ancak araştırmacılar, fidye yazılımı çetelerinin kusurdan sıfır gün olarak kullandıklarını açıklamadılar.
“Microsoft, BYOVD fidye yazılımı saldırılarındaki bu zayıflıktan yararlanan tehdit aktörlerini (TAS) gözlemledi, özellikle sistem seviyesine ayrıcalık artışı elde etmek, daha sonra kötü niyetli kod yürütmek için CVE-2025-0289’u kullanarak.”
“Bu güvenlik açıkları hem Paragon yazılımı hem de Microsoft’un savunmasız sürücü blok listesi tarafından engellenen savunmasız biontdrv.sys sürümleri tarafından düzenlendi.”
Microsoft tarafından keşfedilen Paragon bölüm yöneticisi kusurları:
- CVE-2025-0288 – ‘Memmove’ işlevinin uygunsuz ele alınmasından kaynaklanan keyfi çekirdek bellek yazımı, saldırganların çekirdek belleğine yazmasına ve ayrıcalıkları artırmasına izin verir.
- CVE-2025-0287 – Giriş arabelleğindeki bir ‘masterlrp’ yapısının eksik bir validasyonundan kaynaklanan ve keyfi çekirdek kodunun yürütülmesini sağlayan boş işaretçi ayrımı.
- CVE-2025-0286 -Kullanıcı tarafından sağlanan veri uzunluklarının yanlış doğrulanmasından kaynaklanan keyfi çekirdek bellek yazımı, saldırganların keyfi kod yürütmesine izin verir.
- CVE-2025-0285 -Kullanıcı tarafından sağlanan verilerin doğrulanamamasının neden olduğu keyfi çekirdek bellek eşlemesi, çekirdek bellek eşlemelerini manipüle ederek ayrıcalık artışını sağlar.
- CVE-2025-0289 – ‘MappedSystemva’ işaretçisini ‘HalreturntOfirmware’e geçmeden önce doğrulanamamasının neden olduğu güvensiz çekirdek kaynak erişimi, sistem kaynaklarının potansiyel olarak uzlaşmasına yol açar.
İlk dört güvenlik açığı, Paragon Bölüm Yöneticisi sürümlerini 7.9.1 ve önceki etkilerken, aktif olarak sömürülen kusur olan CVE-2025-0298, 17 ve daha büyük sürümleri etkiler.
Yazılım kullanıcılarının, söz konusu tüm kusurları ele alan Biontdrv.sys sürüm 2.0.0 içeren en son sürüme yükseltilmesi önerilir.
Ancak, Paragon bölüm yöneticisi olmayan kullanıcıların bile saldırılardan güvenli olmadığını belirtmek önemlidir. Byovd taktikleri, hedefin makinesinde mevcut olan yazılıma güvenmez.
Bunun yerine, tehdit aktörleri, kendi araçlarına sahip savunmasız sürücüyü içerir, bu da pencerelere yüklemelerine ve ayrıcalıklara yükseltmelerine izin verir.
Microsoft, sürücünün Windows’a yüklenmesini engellemek için ‘savunmasız sürücü blok listesini’ güncelledi, böylece kullanıcılar ve kuruluşlar koruma sisteminin etkin olduğunu doğrulamalıdır.
Gidip blok listesinin etkin olup olmadığını kontrol edebilirsiniz. Ayarlar → Gizlilik ve Güvenlik → Windows Güvenliği → Cihaz güvenliği → Çekirdek izolasyon → Microsoft savunmasız sürücü blok listesi ve ayarın etkin olduğundan emin olmak.
.jpg)
Kaynak: BleepingComputer
Paragon Software’in sitesinde bir uyarı, kullanıcıların bugün Microsoft tarafından engellenecek aynı sürücüyü kullandığı için Paragon Hard Disk Manager’ı bugüne kadar yükseltmesi gerektiği konusunda uyarıyor.
Fidye yazılımı çetelerinin Paragon kusurundan yararlandığı belirsiz olsa da, BYOVD saldırıları siber suçlular arasında giderek daha popüler hale geldi, çünkü Windows cihazlarında sistem ayrıcalıkları kolayca kazanmalarına izin veriyorlar.
BYOVD saldırılarını kullandığı bilinen tehdit aktörleri arasında dağınık örümcek, lazarus, blackbyte fidye yazılımı, lockbit fidye yazılımı ve daha fazlası bulunmaktadır.
Bu nedenle, savunmasız sürücülerin Windows cihazlarınızda kullanılmasını önlemek için Microsoft savunmasız sürücü blok listesi özelliğini etkinleştirmek önemlidir.