Új fenyegetés Windows rendszereken: a BYOVD támadások terjedése: A Microsoft öt kritikus sebezhetőséget fedezett fel a Paragon Partition Manager BioNTdrv.sys illesztőprogramjában, amelyek közül az egyiket ransomware csoportok már aktívan kihasználják nulladik napi (zero-day) támadásokhoz. A biztonsági rést a Bring Your Own Vulnerable Driver (BYOVD) technika segítségével használják ki, amely lehetővé teszi a támadóknak, hogy a kernel szintű jogosultságokkal kerüljenek be egy Windows rendszerbe.
A CERT/CC figyelmeztetése szerint:
„A támadó helyi hozzáféréssel kihasználhatja ezeket a sebezhetőségeket jogosultságok emelésére vagy szolgáltatásmegtagadásos (DoS) támadások végrehajtására a célpont gépén.”
A Microsoft aláírásával ellátott illesztőprogram miatt a támadók akkor is kihasználhatják a sérülékenységet, ha a Paragon Partition Manager nincs telepítve.
A veszélyes sebezhetőségek listája
A Microsoft öt sebezhetőséget azonosított a Paragon Partition Managerben:
- CVE-2025-0288 – Tetszőleges kernel memória írása a memmove függvény helytelen kezelése miatt.
- CVE-2025-0287 – Null pointer dereference, amely lehetővé teszi tetszőleges kernelkód végrehajtását.
- CVE-2025-0286 – Tetszőleges kernel memória írása felhasználói adatok helytelen érvényesítése miatt.
- CVE-2025-0285 – Kernel memória manipulációja, amely jogtalan jogosultságnövelést tesz lehetővé.
- CVE-2025-0289 – Insecure kernel resource access, amelyet ransomware csoportok már aktívan kihasználnak.
Az első négy sérülékenység a Paragon Partition Manager 7.9.1 és korábbi verzióit érinti, míg az aktívan kihasznált CVE-2025-0289 a 17-es és korábbi verziókat.
Mit tehetnek a felhasználók és rendszergazdák?
- Frissítsen a legújabb verzióra – A BioNTdrv.sys 2.0.0 már tartalmazza a javításokat.
- Engedélyezze a Microsoft „Vulnerable Driver Blocklist” funkcióját – Ezt az alábbi módon teheti meg:
- Beállítások → Adatvédelem és biztonság
- Windows biztonság → Eszközbiztonság
- Alapizoláció → Microsoft Vulnerable Driver Blocklist
- Győződjön meg róla, hogy a funkció engedélyezve van!
- Frissítse a Paragon Hard Disk Managert – A Paragon hivatalos weboldalán is figyelmeztetést adott ki: az illesztőprogramot mától blokkolja a Microsoft, ezért a szoftverfrissítés elengedhetetlen.
A BYOVD támadások terjedése
A BYOVD technikát egyre több kiberbűnöző csoport használja, például:
- Scattered Spider
- Lazarus
- BlackByte ransomware
- LockBit ransomware
Mivel a támadások SYSTEM szintű jogosultságokat biztosítanak a támadóknak, a biztonsági intézkedések bevezetése kulcsfontosságú minden Windows-felhasználó és rendszergazda számára.
További részletek a Microsoft és CERT/CC hivatalos bejelentéseiben.
Hozzászólások
"Az első négy sérülékenység a
Beküldte Kempelen -
Értékelés:
"Az első négy sérülékenység a Paragon Partition Manager 7.9.1 és korábbi verzióit érinti"
Nem 17.9.1 lenne az? Nem tudom a Partition Manager milyen verzióknál tart, de az egész szoftvercsomagjuk már kb 8 éve volt 15-ös verzió, nekem 16-osra van licencem évekkel ezelőttről.
Egyébként nagyon jó programcsomag a Pragon ajánlom. Nekem a napi automata backup is ezzel fut Windowson, könyvtárakat kiválogatva, hogy mi legyen benne. Úgy állítottam be, hogy 2 db 7 napi incrementális backupot őriz meg (Documents, Pictures, munkamappák, Win-t csak munkára használom). És félévente ugyanazzal (Paragon Hard Disk Manager Advanced asszem) teljes gép backupot csinálok, amire kiválasztom az egész első SSD-t: ez 256GB-os, kb 200 a Win, a többi a Linux root partíció. Kiválasztható, hogy mekkora fájlokra darabolva kéred.
A support is nagyon segítőkész.
Linuxon a Borg Backupot használom és ajánlom. Igaz command line, de pár parancs kell csak és jó leírása van. Óriási előnye, hogy nem könyvtárútvonal alapú, ezért nyugodtan át lehet utána rendezni a fájlokat, ez nem növeli a következő backup méretét. (Fotóim és videók rendezgetése miatt ez nekem fontos.)
"Az első négy sérülékenység a
Beküldte kami911 -
Értékelés:
fura, az eredetiben is ez van.