Paragon yazılımından Microsoft imzalı bir sürücüde sıfır gün güvenlik açığı fidye yazılımı saldırılarında kullanılmaktadır.
CERT Koordinasyon Merkezi Cuma günü bir güvenlik danışmanında, Paragon Bölüm Müdürü Biontdrv.SYS sürücüsünde beş güvenlik açığının keşfedildiği konusunda uyardı. Tehdit aktörleri, saldırganların sistemleri tehlikeye atmak ve algılamadan kaçınmak için imzalı sürücüleri kullandıkları “kendi savunmasız sürücünüzü getir” (BYOVD) saldırılarında bilinen kusurlardan birini zaten kullandılar.
Danışmanlığa göre, CVE-2025-0289 ayrıcalıkları artırmak veya hedeflenen cihazlarda DOS saldırılarını yürütmek için kullanılabilecek güvensiz bir çekirdek kaynak erişim güvenlik açığıdır. CERT, disk alanını ve performansı optimize etmek için sabit diskleri bölümlere ayıran Paragon bölüm yöneticisi yüklenmemiş olsa bile, güvenlik açığının Windows cihazlarında yürütülebileceği konusunda uyardı.
Cerred, “Microsoft, BYOVD fidye yazılımı saldırılarında bu zayıflıktan yararlanan tehdit aktörlerini (TAS) gözlemledi. danışma. “Bu güvenlik açıkları hem Paragon yazılımı hem de Microsoft’un savunmasız sürücü blok listesi tarafından engellenen savunmasız biontdrv.sys sürümleri tarafından düzenlendi.”
Fidye yazılımı varyantı ortaya çıkmadı
Bu saldırılarda ne tür bir fidye yazılımının kullanıldığı belirsizdir. Siber Güvenlik Dive, sömürü etkinliği hakkında yorum yapmak için Microsoft ile temasa geçti.
CERT danışma belgesi, Biontdrv.sys sürücüsünde diğer dört güvenlik açığı içerir, bu da dahil olmak üzere CVE-2025-0288ayrıcalık artışına yol açabilecek keyfi bir çekirdek bellek güvenlik açığı; CVE-2025-0287ayrıcalık artışını sağlayan bir null işaretçisi ayrımı güvenlik açığı; CVE-2025-0286keyfi bir çekirdek belleği, keyfi kodun yürütülmesini sağlayan güvenlik açığı yazın; Ve CVE-2025-0285ayrıcalık artışını sağlayan keyfi bir çekirdek bellek eşleme güvenlik açığı.
CERT, Beş Sürücü güvenlik açıklarının hepsinin keşfedilmesiyle Microsoft’u kredilendirdi.
Cuma günü Paragon Bir yama yayınladı Biontdrv.sys sürücüsü için, ancak güvenlik danışmanlığı CVE’lerin hiçbirini içermez ve sömürü faaliyetinden bahsetmez. Yazılım şirketi, kullanıcıları “değişen Microsoft güvenlik yönergelerine uymak ve eski sürücü sürümünün varlığıyla ilgili herhangi bir güvenlik riskini hariç tutmak için sürücülerini yükseltmeye” çağırdı.
Siber Güvenlik Dive, CERT raporu hakkında yorum yapmak için Paragon ile temasa geçti.
Fidye yazılımı çeteleri geçmişte savunmasız sürücüleri, uç nokta algılama ve yanıt ürünlerinden kaçınmak ve hatta herhangi bir kötü niyetli etkinliği tanımlamadan önce süreçlerini sonlandırmak için kötüye kullanmıştır. Örneğin, geçen yıl Sophos araştırmacıları Ransomhub aktörlerinin “Edrkillshifter“savunmasız sürücüleri EDR algılamasını durdurmak ve hedeflenen sistemlerde ayrıcalıkları yükseltmek için kullanan.