Paragon Software’in yaygın olarak kullanılan sabit disk yöneticisi (HDM) ürün hattının, çekirdek seviyesi sürücüsü Biontdrv.sys’de beş şiddetli güvenlik açığı içerdiği ve saldırganların sistem seviyesi erişimi veya tetikleyici-hizmet reddi (DOS) saldırılarına neden olmalarını sağladığı bulunmuştur.
Siber güvenlik araştırmacılarına göre, şimdi yamalı kusurlar, Microsoft imzalı sürücülerden yararlanan fidye yazılımı kampanyalarında aktif olarak sömürüldü.
Güvenlik açıklarına genel bakış
Güvenlik açıkları (atanan CVE’ler: 2025-0285 ila 2025-0289) Biontdrv.sys sürümleri 10.1.xy ve daha eski, 1.1.0.0, 1.3.0.0, 1.4.0.0 ve 1.5.1.0 dahil.
.png
)
Microsoft’un tehdit istihbarat ekibi, saldırganların Paragon yazılımı yüklü sistemlerde bile kendi savunmasız sürücü (BYOVD) taktiklerinizi getirerek bu kusurları kullandıklarını doğruladı.
Anahtar Riskler:
- Ayrıcalık artışı: Saldırganlar kötü amaçlı kod yürütmek için sistem düzeyinde kontrol kazanırlar.
- Hizmet Reddi (DOS): Tetik sistemi çöküyor (örneğin, ölümün mavi ekranı).
- Fidye Yazılımı Saldırıları: Microsoft, BYOVD tabanlı fidye yazılımı kampanyalarında aktif sömürü gözlemledi.
Etkilenen ürünler ve CVES
| CVE kimliği | Güvenlik Açığı Türü | Etkilenen ürün |
| CVE-2025-0285 | Keyfi çekirdek bellek eşlemesi | Paragon sabit disk yöneticisi |
| CVE-2025-0286 | Keyfi çekirdek bellek yazma | Paragon sabit disk yöneticisi |
| CVE-2025-0287 | NULL POINTER DERERENERICE | Paragon sabit disk yöneticisi |
| CVE-2025-0288 | Memmove aracılığıyla keyfi çekirdek bellek | Paragon sabit disk yöneticisi |
| CVE-2025-0289 | Güvensiz çekirdek kaynak erişimi | Paragon sabit disk yöneticisi |
Teknik döküm
Düşük seviyeli disk yönetimi için tasarlanmış Biontdrv.sys sürücüsü, kullanıcı kontrollü girişleri doğrulamadı ve saldırganların şunları sağlayabilmesini sağladı.
- Harita veya keyfi çekirdek belleği yazın (CVE-2025-0285, 0286, 0288).
- NULL POINTER DEREFERANS’tan yararlanın (CVE-2025-0287).
- Kötüye Kullanılmamış Sistem İşaretçileri (CVE-2025-0289).
Microsoft, sürücünün Microsoft imzasının, saldırganların Paragon yazılımı olmadan eşsiz sistemlerde bile BYOVD üzerinden güvenlik kontrollerini atlamasına izin verdiğini vurguladı.
- Yerel Saldırı Vektörü: Fiziksel veya uzaktan erişimi olan saldırganlar, kötü amaçlı yazılım yüklemek, verileri eklemek veya sakat sistemleri kurmak için ayrıcalıkları artırabilir.
- Fidye yazılımı bağlantısı: CVE-2025-0289, fidye yazılımı yüklerini dağıtmadan önce sistem erişimi kazanmak için özellikle silahlandırıldı.
Paragon yazılımı, kusurları ele almak için Biontdrv.sys sürüm 2.0.0 yayınladı. Kullanıcılar ve İşletmeler:
- Hemen Güncelle: Paragon’un danışmanlığı aracılığıyla yamalar uygulayın.
- Microsoft’un blok listesini etkinleştirin: Windows Securation’ın savunmasız sürücü blok listesinin etkin olduğundan emin olun (Windows 11’de varsayılan).
- Denetim Kurumsal Sistemleri: BT ekipleri BYOVD saldırılarını önlemek için blok listesi uygulanmasını doğrulamalıdır.
Microsoft’un güvenlik ekibi, “Bu güvenlik açıkları üçüncü taraf çekirdek sürücülerinin risklerinin altını çiziyor” dedi. “Proaktif yama yönetimi ve sürücü blok listesi, çekişmeli iş akışlarını bozmak için kritik öneme sahiptir.”
Paragon Software, kullanıcıları yamalı sürücüyü içeren Hard Disk Manager 18.0 veya daha yeni bir şekilde yükseltmeye çağırdı. Güncellemelerin geciktiği sistemler için Biontdrv.sys sürücüsünün devre dışı bırakılması veya kaldırılması tavsiye edilir.
Bu olay, BYOVD tabanlı saldırıların artan sofistike olmasını ve endüstri arası güvenlik açığı koordinasyonuna acil ihtiyaç olduğunu vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!