Cybersecurity-Experten haben eine kritische Zero-Day-Schwachstelle im Treiber des Paragon Partition Manager (BioNTdrv.sys) identifiziert, die aktiv von Cyberkriminellen ausgenutzt wird. Die als CVE-2025-0289 klassifizierte Sicherheitslücke ermöglicht Angreifern die Ausführung von Ransomware-Attacken durch Privilegien-Eskalation und beliebige Code-Ausführung auf Windows-Systemen.
Technische Details der Schwachstelle
Das Microsoft Security Response Center hat insgesamt fünf schwerwiegende Sicherheitsprobleme im betroffenen Treiber aufgedeckt. Diese umfassen kritische Schwachstellen in der Kernel-Speicherverwaltung, darunter willkürliche Speicherabbildung und -schreibzugriffe, Null-Pointer-Dereferenzierung sowie unsichere Kernel-Ressourcenzugriffe. Besonders besorgniserregend ist die Tatsache, dass der Treiber eine gültige Microsoft-Signatur trägt.
BYOVD-Angriffe und deren Auswirkungen
Die Schwachstelle öffnet die Tür für sogenannte BYOVD-Angriffe (Bring Your Own Vulnerable Driver), bei denen Angreifer den verwundbaren Treiber selbst in Zielsysteme einschleusen können – auch wenn Paragon Partition Manager ursprünglich nicht installiert war. Diese Methode ermöglicht es Cyberkriminellen, Sicherheitsmechanismen des Betriebssystems zu umgehen und schädlichen Code mit Kernel-Privilegien auszuführen.
Betroffene Versionen und Schutzmaßnahmen
Die Sicherheitslücken wurden in den Treiberversionen 1.3.0 und 1.5.1 nachgewiesen. Als Reaktion darauf hat Paragon Software umgehend Version 2.0.0 veröffentlicht, die diese Schwachstellen behebt. Microsoft hat zusätzlich die verwundbaren Treiberversionen auf die Windows-Blockliste gesetzt, um deren Ausführung systemweit zu verhindern.
Empfohlene Sicherheitsmaßnahmen
Systemadministratoren und IT-Sicherheitsverantwortliche sollten unverzüglich folgende Schritte einleiten:
– Update auf die aktuelle Version des Paragon Partition Manager
– Durchführung eines System-Audits zur Identifizierung verwundbarer Treiber
– Aktualisierung der Windows-Treiberblockliste
– Implementierung zusätzlicher Endpoint-Protection-Lösungen
Die Entdeckung dieser Schwachstelle unterstreicht die wachsende Bedeutung einer robusten Treiber-Sicherheit in modernen IT-Infrastrukturen. Unternehmen sollten ihre Sicherheitsstrategien regelmäßig überprüfen und anpassen, um sich vor ähnlichen Bedrohungen zu schützen. Die konsequente Anwendung des Principle of Least Privilege sowie regelmäßige Sicherheits-Updates bleiben fundamentale Bausteine einer effektiven Cybersecurity-Strategie.