Angreifer bringen verwundbaren Paragon-Treiber mit und missbrauchen ihn

In dem Treiber "BioNTdrv.sys" von Paragons Partition Manager missbrauchen Angreifer eine Sicherheitslücke, durch die sie höhere Rechte im System erlangen. Paragon reagiert mit aktualisierter Software. Da der Treiber ein ordentliches Microsoft-Zertifikat mitbringt, können bösartige Akteure dieses einfach selbst auf Windows-Rechner installieren, ohne weitere Paragon-Software. Microsoft hat deswegen die Block-Liste der verwundbaren Treiber aktualisiert, die das Laden von anfälligen Versionen verhindern soll.

Das CERT weist in einer Sicherheitsmitteilung auf die Schwachstellen hin. In dem Treiber "BioNTdrv.sys" vor der nun aktuellen Version 2.0.0, insbesondere die Versionen 1.3.0 und 1.5.1 aus Paragons Partition Manager 7.9.1 sowie 17, klaffen insgesamt fünf Sicherheitslücken. Der Treiber dient dem Low-Level-Zugriff auf Laufwerke mit erhöhten Rechten im Kernel-Kontext, um auf Daten zuzugreifen und sie zu verwalten. Es sind sowohl die kostenlosen Community-Editionen als auch die kommerzielle Version der Software betroffen.

Fünf Sicherheitslücken, aber in unterschiedlichen Versionen

Laut CERT hat Microsoft vier Sicherheitslecks in "BioNTdrv.sys" von Paragon Partition Manager 7.9.1 sowie eine in der Version aus Paragon Partition Manager 17 entdeckt. Die Schwachstellen erlauben Angreifern, an SYSTEM-Rechte zu gelangen, die jene von Administrator noch übertreffen. Der Treiber könne von bösartigen Akteuren mit IOCTLs manipuliert werden, was etwa in erhöhten Rechten oder Systemabstürzen – etwa Blue Screen of Death, BSOD – münden kann. Selbst, wenn die Paragon-Software gar nicht installiert ist, können sie den Treiber einfach mitbringen, um eine Maschine zu kompromittieren, auch als Bring Your Own Vulnerable Driver (BYOVD) bekannt.

Und genau das hat Microsoft der Mitteilung zufolge beobachtet. In Ransomware-Angriffen haben die Täter Version 1.3.0 von "BioNTdrv.sys" mitgebracht, um ihre Rechte im System auszuweiten und bösartigen Code auszuführen.

Die fünf Schwachstellen haben CVE-Einträge erhalten, die jedoch bisher nicht öffentlich sind. In Version 7.9.1 des Paragon Partition Manager hat Microsoft vier Lecks gemeldet: Der Treiber überprüft bei einer memmove-Funktion Nutzer-übergebene Daten nicht, wodurch Angreifer beliebig in Kernel-Speicher schreiben und erhöhte Rechte erlangen können (CVE-2025-0288). Eine Null-Pointer-Dereferenzierung erlaubt die Ausführung beliebigen Kernel-Codes, was ebenfalls zur Rechteausweitung dienen kann (CVE-2025-0287). Durch beliebigen Schreibzugriff auf Kernel-Speicher aufgrund unzureichender Längenprüfungen von Nutzer-übergebenen Daten können Angreifer beliebigen Code ausführen (CVE-2025-0286). Außerdem kann eine ähnliche Lücke beim Speichermapping des Kernels zur Ausweitung der Rechte von Angreifern führen (CVE-2025-0285).

Nur in Version 17 der Software tritt im Treiber potenziell der Fehler auf, dass bei der Übergabe eines "MappedSystemVa"-Zeigers keine Prüfung stattfindet, bevor er an "HalReturnToFirmware" übergeben wird. Dadurch können Angreifer den Dienst kompromittieren (CVE-2025-0289).

Jetzt updaten und BYOVD-Datenbank von Microsoft aktivieren

Paragon hat aktualisierte Fassungen vom Paragon Partition Manager veröffentlicht, die den Treiber "BioNTdrv.sys" in der nicht mehr anfälligen Version 2.0.0 mitbringen. Daher sollten Admins und IT-Verantwortliche ebenso wie Endanwender, die die Paragon-Software installiert haben, die Updates auf die neuen Versionen zügig anwenden. Unter Windows 11 ist die Liste der blockierten verwundbaren Treiber standardmäßig aktiv, unter Windows 10 muss sie in den Windows-Sicherheitseinstellungen manuell aktiviert werden. Microsoft hat den Treiber auf diese Liste verfrachtet; ob er bereits in der Aktualisierung aus der Update-Vorschau aus dem Januar und mit den Februar-Updates für Windows bereits verteilt wurde, die explizit eine Aktualisierung der BYOVD-Block-Listen enthalten, erörtert das CERT jedoch nicht.

(dmk)