Microsoft, Windows'ta sistem ayrıcalıkları kazanmak için fidye yazılımı çeteleri tarafından sıfır gün saldırılarında kullanılan beş paragon bölüm müdürü Biontdrv.sys sürücü kusurlarını keşfetti.
Savunmasız sürücüler, 'kendi savunmasız sürücünüzü getir' (BYOVD) saldırılarında, tehdit aktörlerinin ayrıcalıkları yükseltmek için hedeflenen bir sistemde çekirdek sürücüsünü düşürdüğü saldırılarda kullanıldı.
CERT/CC'den bir uyarı, "Bir cihaza yerel erişimi olan bir saldırgan, ayrıcalıkları artırmak veya kurbanın makinesinde bir hizmet reddi (DOS) senaryosuna neden olmak için bu güvenlik açıklarından yararlanabilir."
"Ayrıca, saldırı Microsoft imzalı bir sürücü içerdiğinden, bir saldırgan, Paragon bölüm yöneticisi yüklenmemiş olsa bile sistemlerden yararlanmak için kendi savunmasız sürücünüzü (BYOVD) tekniğinizi getirebilir."
Biontdrv.sys çekirdek düzeyinde bir sürücü olduğundan, tehdit aktörleri, sürücü ile aynı ayrıcalıklarla komutları yürütmek, korumaları ve güvenlik yazılımını atlayarak güvenlik açıklarından yararlanabilir.
Microsoft araştırmacıları, beş kusurun hepsini keşfetti, bunlardan biri olan CVE-2025-0289'un fidye yazılımı gruplarının saldırılarında kullanıldığını belirtti. Ancak araştırmacılar, fidye yazılımı çetelerinin kusurdan sıfır gün olarak kullandıklarını açıklamadılar.
"Microsoft, BYOVD fidye yazılımı saldırılarındaki bu zayıflıktan yararlanan tehdit aktörlerini (TAS) gözlemledi, özellikle sistem seviyesine ayrıcalık artışı elde etmek, daha sonra kötü niyetli kod yürütmek için CVE-2025-0289'u kullanarak."
"Bu güvenlik açıkları hem Paragon yazılımı hem de Microsoft'un savunmasız sürücü blok listesi tarafından engellenen savunmasız biontdrv.sys sürümleri tarafından düzenlendi."
Microsoft tarafından keşfedilen Paragon bölüm yöneticisi kusurları:
İlk dört güvenlik açığı, Paragon Bölüm Yöneticisi sürümlerini 7.9.1 ve önceki etkilerken, aktif olarak sömürülen kusur olan CVE-2025-0298, 17 ve daha büyük sürümleri etkiler.
Yazılım kullanıcılarının, söz konusu tüm kusurları ele alan Biontdrv.sys sürüm 2.0.0 içeren en son sürüme yükseltilmesi önerilir.
Ancak, Paragon bölüm yöneticisi olmayan kullanıcıların bile saldırılardan güvenli olmadığını belirtmek önemlidir. Byovd taktikleri, hedefin makinesinde mevcut olan yazılıma güvenmez.
Bunun yerine, tehdit aktörleri, kendi araçlarına sahip savunmasız sürücüyü içerir, bu da pencerelere yüklemelerine ve ayrıcalıklara yükseltmelerine izin verir.
Microsoft, sürücünün Windows'a yüklenmesini engellemek için 'savunmasız sürücü blok listesini' güncelledi, böylece kullanıcılar ve kuruluşlar koruma sisteminin etkin olduğunu doğrulamalıdır.
Ayarlar → Gizlilik ve Güvenlik → Windows Güvenlik → Aygıt Güvenliği → Çekirdek İzolasyonu → Microsoft Fornnered Sürücü Blok Listesi'ne giderek ve ayarın etkin olduğundan emin olarak blok listesinin etkin olup olmadığını kontrol edebilirsiniz.
Paragon Software'in sitesinde bir uyarı, kullanıcıların bugün Microsoft tarafından engellenecek aynı sürücüyü kullandığı için Paragon Hard Disk Manager'ı bugüne kadar yükseltmesi gerektiği konusunda uyarıyor.
Fidye yazılımı çetelerinin Paragon kusurundan yararlandığı belirsiz olsa da, BYOVD saldırıları siber suçlular arasında giderek daha popüler hale geldi, çünkü Windows cihazlarında sistem ayrıcalıkları kolayca kazanmalarına izin veriyorlar.
BYOVD saldırılarını kullandığı bilinen tehdit aktörleri arasında dağınık örümcek, lazarus, blackbyte fidye yazılımı, lockbit fidye yazılımı ve daha fazlası bulunmaktadır.
Bu nedenle, savunmasız sürücülerin Windows cihazlarınızda kullanılmasını önlemek için Microsoft savunmasız sürücü blok listesi özelliğini etkinleştirmek önemlidir.
Google, Saldırılarda Sökülen Android Çekirdek Sıfır Gününü Düzeltiyor
Cisa, aktif olarak sömürülen Windows, Cisco güvenlik açıkları etiketlerini etiketliyor
Microsoft, Güç Sayfalarını Saldırılarda Sıralı Sıfır Gün Böceği Düzeltiyor
Bilgisayar korsanları Gizli Yönetici Hesabı oluşturmak için Windows Rid kaçırma kullanıyor
Qilin Fidye Yazılımı Talepleri Lee Enterprises'a saldırı, Sızıntılar Çalınan Verileri Sızın
Kaynak: Bleeping Computer