Paragon Partition Manager, das beliebte Tool von Paragon Software zur Verwaltung von Festplattenpartitionen, steht derzeit im Fokus von Sicherheitsforschern. Eine neue CERT/CC Vulnerability Note hat fünf schwerwiegende Sicherheitslücken im zugehörigen Treiber BioNTdrv.sys aufgedeckt, die Angreifern ermöglichen können, lokale Privilegien zu eskalieren oder sogar Denial-of-Service-Angriffe (DoS) auszulösen.
Die betroffenen Versionen des BioNTdrv.sys Treibers – konkret alle Versionen vor 2.0.0 – enthalten folgende kritische Sicherheitslücken:
- CVE-2025-0288:
Eine Schwachstelle im memmove-Aufruf führt dazu, dass Benutzereingaben nicht ausreichend validiert werden. Dies ermöglicht es einem Angreifer, willkürlich Kernel-Speicher zu überschreiben und so Privilegien zu eskalieren. - CVE-2025-0287:
Eine Nullzeiger-Dereferenzierung, die auf das Fehlen einer gültigen MasterLrp-Struktur im Eingabepuffer zurückzuführen ist, erlaubt die Ausführung von beliebigem Kernel-Code. - CVE-2025-0286:
Durch unzureichende Prüfung der Länge benutzergesteuerter Daten kann ein Angreifer den Kernel-Speicher manipulieren und so schädlichen Code auf dem Zielsystem ausführen. - CVE-2025-0285:
Eine fehlerhafte Validierung der Datenlänge bei der Speicherabbildung im Kernel ermöglicht es, ungewollt Kernel-Speicherbereiche zuzuordnen, was zu einer Eskalation von Benutzerrechten führen kann. - CVE-2025-0289:
Eine unsichere Überprüfung von Kernel-Ressourcen im Paragon Partition Manager Version 17 führt dazu, dass Angreifer auf Systemressourcen zugreifen und den Dienst kompromittieren können. Diese Schwachstelle wird unter anderem im Rahmen von BYOVD-Angriffen (Bring Your Own Vulnerable Driver) ausgenutzt, um mit einem Microsoft-signierten Treiber SYSTEM-Rechte zu erlangen.
Ein Angreifer, der physischen oder lokalen Zugriff auf ein System erlangt, kann diese Schwachstellen ausnutzen, um:
- Privilegien zu eskalieren: Mit SYSTEM-Rechten können weitreichende Änderungen am System vorgenommen werden, die normalerweise Administratoren vorbehalten sind.
- Systemabstürze oder DoS-Szenarien: Die Ausnutzung der Schwachstellen kann zu einem vollständigen Systemabsturz führen.
- BYOVD-Technik: Selbst wenn Paragon Partition Manager nicht installiert ist, können Angreifer über den BYOVD-Ansatz den anfälligen Treiber laden und so Systeme kompromittieren – ein Szenario, das bereits in gezielten Ransomware-Angriffen beobachtet wurde.
Paragon Software hat bereits reagiert und den Treiber BioNTdrv.sys auf Version 2.0.0 aktualisiert. Alle betroffenen Produkte – darunter Paragon Hard Disk Manager 17, Paragon Partition Manager Community Edition und Paragon Backup and Recovery Community Edition – wurden entsprechend gepatcht. Zusätzlich sollten Windows-Nutzer sicherstellen, dass der Microsoft Vulnerable Driver Blocklist aktiv ist. Diese Blocklist, die standardmäßig unter Windows 11 aktiviert ist, verhindert das Laden von als unsicher identifizierten Treiberversionen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: