Bring your own Vulnerable Driver Schwachstellen in Paragon Partition Manager

Paragon Partition Manager, das beliebte Tool von Paragon Software zur Verwaltung von Festplattenpartitionen, steht derzeit im Fokus von Sicherheitsforschern. Eine neue CERT/CC Vulnerability Note hat fünf schwerwiegende Sicherheitslücken im zugehörigen Treiber BioNTdrv.sys aufgedeckt, die Angreifern ermöglichen können, lokale Privilegien zu eskalieren oder sogar Denial-of-Service-Angriffe (DoS) auszulösen.

Die betroffenen Versionen des BioNTdrv.sys Treibers – konkret alle Versionen vor 2.0.0 – enthalten folgende kritische Sicherheitslücken:

  • CVE-2025-0288:
    Eine Schwachstelle im memmove-Aufruf führt dazu, dass Benutzereingaben nicht ausreichend validiert werden. Dies ermöglicht es einem Angreifer, willkürlich Kernel-Speicher zu überschreiben und so Privilegien zu eskalieren.
  • CVE-2025-0287:
    Eine Nullzeiger-Dereferenzierung, die auf das Fehlen einer gĂĽltigen MasterLrp-Struktur im Eingabepuffer zurĂĽckzufĂĽhren ist, erlaubt die AusfĂĽhrung von beliebigem Kernel-Code.
  • CVE-2025-0286:
    Durch unzureichende Prüfung der Länge benutzergesteuerter Daten kann ein Angreifer den Kernel-Speicher manipulieren und so schädlichen Code auf dem Zielsystem ausführen.
  • CVE-2025-0285:
    Eine fehlerhafte Validierung der Datenlänge bei der Speicherabbildung im Kernel ermöglicht es, ungewollt Kernel-Speicherbereiche zuzuordnen, was zu einer Eskalation von Benutzerrechten führen kann.
  • CVE-2025-0289:
    Eine unsichere Überprüfung von Kernel-Ressourcen im Paragon Partition Manager Version 17 führt dazu, dass Angreifer auf Systemressourcen zugreifen und den Dienst kompromittieren können. Diese Schwachstelle wird unter anderem im Rahmen von BYOVD-Angriffen (Bring Your Own Vulnerable Driver) ausgenutzt, um mit einem Microsoft-signierten Treiber SYSTEM-Rechte zu erlangen.

Ein Angreifer, der physischen oder lokalen Zugriff auf ein System erlangt, kann diese Schwachstellen ausnutzen, um:

  • Privilegien zu eskalieren: Mit SYSTEM-Rechten können weitreichende Ă„nderungen am System vorgenommen werden, die normalerweise Administratoren vorbehalten sind.
  • SystemabstĂĽrze oder DoS-Szenarien: Die Ausnutzung der Schwachstellen kann zu einem vollständigen Systemabsturz fĂĽhren.
  • BYOVD-Technik: Selbst wenn Paragon Partition Manager nicht installiert ist, können Angreifer ĂĽber den BYOVD-Ansatz den anfälligen Treiber laden und so Systeme kompromittieren – ein Szenario, das bereits in gezielten Ransomware-Angriffen beobachtet wurde.

Paragon Software hat bereits reagiert und den Treiber BioNTdrv.sys auf Version 2.0.0 aktualisiert. Alle betroffenen Produkte – darunter Paragon Hard Disk Manager 17, Paragon Partition Manager Community Edition und Paragon Backup and Recovery Community Edition – wurden entsprechend gepatcht. Zusätzlich sollten Windows-Nutzer sicherstellen, dass der Microsoft Vulnerable Driver Blocklist aktiv ist. Diese Blocklist, die standardmäßig unter Windows 11 aktiviert ist, verhindert das Laden von als unsicher identifizierten Treiberversionen.

Related Posts

Kritische Sicherheitslücke in Everest Forms gefährdet über 100.000 WordPress-Seiten

Am 16. Januar 2025 wurde über eine schwerwiegende Sicherheitslücke im beliebten WordPress-Plugin Everest Forms bekannt – ein Plugin, das über 100.000 aktive Installationen zählt. Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebige Dateien hochzuladen, auszulesen und sogar zu löschen. Daraus resultiert das Risiko einer Remote Code Execution, womit Angreifer schädlichen PHP-Code auf den Server laden können, was zu einer kompletten Übernahme der Website führen kann.

Read More

Hacker Angriff auf französischen TK Anbieter Orange - Group

Orange Group bestätigt Hackerangriff – Ein Hacker, der sich unter dem Alias „Rey“ ausgibt und der HellCat-Ransomware-Gruppe zugeordnet wird, hat angeblich fast 12.000 Dateien im Wert von rund 6,5 GB gestohlen. Dabei seien interne Dokumente, E-Mail-Adressen (insgesamt 380.000 einzigartige Adressen), Quellcodes, Verträge, Rechnungen sowie Mitarbeiter- und Kundendaten, vornehmlich der rumänischen Niederlassung, entwendet worden.

Read More

Privilege Escalation in NetScaler Console und Agent (CVE-2024-12284)

Citrix hat in einem aktuellen Sicherheitsbulletin auf eine kritische Schwachstelle in der NetScaler Console (ehemals NetScaler ADM) sowie im NetScaler Agent hingewiesen. Die betroffenen Versionen sind:

Read More