Peneliti telah menemukan lima kelemahan driver Paragon Partition Manager BioNTdrv.sys, dengan satu kelemahan digunakan oleh geng ransomware dalam serangan zero-day untuk mendapatkan hak istimewa SISTEM di Windows.

Driver yang rentan tersebut dieksploitasi dalam serangan ‘Bring Your Own Vulnerable Driver’ (BYOVD) di mana pelaku meletakkan driver kernel pada sistem yang ditargetkan untuk meningkatkan hak istimewa.

Seorang penyerang dengan akses lokal ke perangkat dapat mengeksploitasi kerentanan ini untuk meningkatkan hak istimewa atau menyebabkan skenario penolakan layanan (DoS) pada mesin korban.

Baca juga: Mengurangi Risiko Kerentanan Browser

Eksploitasi BYOVD

Selain itu, karena serangan tersebut melibatkan Driver yang ditandatangani Microsoft, penyerang dapat memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk mengeksploitasi sistem meskipun Paragon Partition Manager tidak diinstal.

Karena BioNTdrv.sys adalah driver tingkat kernel, pelaku ancaman dapat mengeksploitasi kerentanan untuk menjalankan perintah dengan hak istimewa yang sama dengan driver, melewati perlindungan dan perangkat lunak keamanan.

Peneliti menemukan kelima kelemahan tersebut, dan mencatat bahwa salah satunya, CVE-2025-0289, dimanfaatkan dalam serangan oleh kelompok ransomware. Namun, para peneliti tidak mengungkapkan kelompok ransomware mana yang mengeksploitasi kelemahan tersebut sebagai zero-day.

Peneliti telah mengamati pelaku ancaman (TA) yang mengeksploitasi kelemahan ini dalam serangan ransomware BYOVD, khususnya menggunakan CVE-2025-0289 untuk mencapai peningkatan hak istimewa ke tingkat SISTEM, lalu mengeksekusi kode berbahaya lebih lanjut.

Kerentanan ini telah ditambal oleh Paragon Software, dan versi BioNTdrv.sys yang rentan diblokir oleh Vulnerable Driver Blocklist milik Microsoft.

Baca juga: Kerentanan UEFI PixieFail

5 Kerentanan Paragon

Kelemahan Paragon Partition Manager yang ditemukan adalah:

• CVE-2025-0288 – Penulisan memori kernel yang sewenang-wenang disebabkan oleh penanganan fungsi ‘memmove’ yang tidak tepat, yang memungkinkan penyerang untuk menulis ke memori kernel dan meningkatkan hak istimewa.
• CVE-2025-0287 – Dereferensi penunjuk null yang timbul dari validasi yang hilang dari struktur ‘MasterLrp’ dalam buffer input, yang memungkinkan eksekusi kode kernel yang sembarangan.
• CVE-2025-0286 – Penulisan memori kernel sembarang yang disebabkan oleh validasi yang tidak tepat dari panjang data yang disediakan pengguna, yang memungkinkan penyerang untuk mengeksekusi kode sembarangan.
• CVE-2025-0285 – Pemetaan memori kernel sembarangan yang disebabkan oleh kegagalan untuk memvalidasi data yang disediakan pengguna, yang memungkinkan peningkatan hak istimewa dengan memanipulasi pemetaan memori kernel.
• CVE-2025-0289 – Akses sumber daya kernel yang tidak aman yang disebabkan oleh kegagalan untuk memvalidasi penunjuk ‘MappedSystemVa’ sebelum meneruskannya ke ‘HalReturnToFirmware,’ yang menyebabkan potensi kompromi sumber daya sistem.

Empat kerentanan pertama memengaruhi Paragon Partition Manager versi 7.9.1 dan sebelumnya, sementara CVE-2025-0298, kelemahan yang dieksploitasi secara aktif, memengaruhi versi 17 dan yang lebih lama.

Baca juga: Kerentanan Rutin Dieksploitasi

Catatan Keamanan

Pengguna perangkat lunak disarankan untuk memutakhirkan ke versi terbaru, yang berisi BioNTdrv.sys versi 2.0.0, yang mengatasi semua kelemahan yang disebutkan.

Namun, penting untuk dicatat bahwa bahkan pengguna yang tidak menginstal Paragon Partition Manager pun tidak aman dari serangan. Taktik BYOVD tidak bergantung pada keberadaan perangkat lunak di mesin target.

Sebaliknya, pelaku ancaman menyertakan driver yang rentan dengan alat mereka sendiri, yang memungkinkan mereka untuk memuatnya ke Windows dan meningkatkan hak istimewa.

Microsoft telah memperbarui Daftar Blokir Driver yang Rentan untuk memblokir driver agar tidak dimuat di Windows, sehingga pengguna dan organisasi harus memverifikasi bahwa sistem perlindungan aktif.

Anda dapat memeriksa apakah daftar blokir diaktifkan dengan membuka Setelan → Privasi & keamanan → Keamanan Windows → Keamanan perangkat → Isolasi inti → Daftar Blokir Driver Rentan Microsoft dan memastikan setelan diaktifkan.

Peringatan di situs Paragon Software juga memperingatkan bahwa pengguna harus memutakhirkan Paragon Hard Disk Manager paling lambat hari ini, karena menggunakan driver yang sama, yang akan diblokir oleh Microsoft hari ini.

Meskipun tidak jelas geng ransomware mana yang mengeksploitasi kelemahan Paragon, serangan BYOVD telah menjadi semakin populer di kalangan penjahat dunia maya karena memungkinkan mereka memperoleh hak istimewa SISTEM dengan mudah pada perangkat Windows.

Aktor ancaman yang diketahui menggunakan serangan BYOVD termasuk Scattered Spider, Lazarus, ransomware BlackByte, ransomware LockBit, dan masih banyak lagi.

Atas dasar ini, penting untuk mengaktifkan fitur Daftar Blokir Driver Rentan Microsoft guna mencegah driver rentan digunakan pada perangkat Windows Anda.

 

 

Baca artikel lainnya:  Kerentanan Broken Access Control Kerentanan Bluetooth Mengancam Keamanan Semua Platform Mitigasi Kerentanan OpenSSH Baru Mengidentifikasi Kerentanan Keamanan Siber Kerentanan Bajak WhatsApp dan Aplikasi Perpesanan Android Lain Peneliti ESET Temukan Dua kerentanan baru Baru eksploitasi PDF Kerentanan pada Java dan Phyton Dapat DIgunakan Bypass Firewall Kerentanan dan Kerusakan Pelanggaran Data.

 

Sumber berita:

 

Prosperita IT News