image credit: Pixabay.com
Untuk meningkatkan kesadaran tentang bahaya common vulnerability & exsposure, kali ini kita akan membahas 5 kerentanan Paragon Partition
Peneliti telah menemukan lima kelemahan driver Paragon Partition Manager BioNTdrv.sys, dengan satu kelemahan digunakan oleh geng ransomware dalam serangan zero-day untuk mendapatkan hak istimewa SISTEM di Windows.
Driver yang rentan tersebut dieksploitasi dalam serangan ‘Bring Your Own Vulnerable Driver’ (BYOVD) di mana pelaku meletakkan driver kernel pada sistem yang ditargetkan untuk meningkatkan hak istimewa.
Pelaku dengan akses lokal ke perangkat dapat mengeksploitasi kerentanan untuk meningkatkan hak istimewa atau menyebabkan penolakan layanan (DoS) pada mesin korban.
|
<strong>Baca juga: Mengurangi Risiko Kerentanan Browser |
Eksploitasi BYOVD
Selain itu, karena serangan tersebut melibatkan Driver yang ditandatangani Microsoft, penyerang dapat memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk mengeksploitasi sistem meskipun Paragon Partition Manager tidak diinstal.
Karena BioNTdrv.sys adalah driver tingkat kernel, pelaku ancaman dapat mengeksploitasi kerentanan untuk menjalankan perintah dengan hak istimewa yang sama dengan driver, melewati perlindungan dan perangkat lunak keamanan.
Peneliti menemukan kelima kelemahan tersebut, dan mencatat bahwa salah satunya, CVE-2025-0289, dimanfaatkan dalam serangan oleh kelompok ransomware.
Namun, para peneliti tidak mengungkapkan kelompok ransomware mana yang mengeksploitasi kelemahan tersebut sebagai zero-day.
Peneliti telah mengamati pelaku ancaman (TA) yang mengeksploitasi kelemahan ini dalam serangan ransomware BYOVD, khususnya menggunakan CVE-2025-0289
Dengan tujuan untuk mencapai peningkatan hak istimewa atau hak admin ke tingkat SISTEM, lalu mengeksekusi kode berbahaya lebih lanjut.
Kerentanan ini telah ditambal oleh Paragon Software, dan versi BioNTdrv.sys yang rentan diblokir oleh Vulnerable Driver Blocklist milik Microsoft.
|
Baca juga: Kerentanan UEFI PixieFail |
5 Kerentanan Paragon
Kelemahan Paragon Partition Manager yang ditemukan adalah:
CVE-2025-0288
Penulisan memori kernel yang sewenang-wenang disebabkan oleh penanganan fungsi ‘memmove’ yang tidak tepat, yang memungkinkan penyerang untuk menulis ke memori kernel dan meningkatkan hak istimewa.
CVE-2025-0287
Dereferensi penunjuk null yang timbul dari validasi yang hilang dari struktur ‘MasterLrp’ dalam buffer input, yang memungkinkan eksekusi kode kernel yang sembarangan.
CVE-2025-0286
Penulisan memori kernel sembarang yang disebabkan oleh validasi yang tidak tepat dari panjang data yang disediakan pengguna, yang memungkinkan penyerang untuk mengeksekusi kode sembarangan.
CVE-2025-0285</strong>
Pemetaan memori kernel sembarangan yang disebabkan oleh kegagalan untuk memvalidasi data yang disediakan pengguna, yang memungkinkan peningkatan hak istimewa dengan memanipulasi pemetaan memori kernel.
CVE-2025-0289
Akses sumber daya kernel yang tidak aman yang disebabkan oleh kegagalan untuk memvalidasi penunjuk ‘MappedSystemVa’ sebelum meneruskannya ke ‘HalReturnToFirmware,’ yang menyebabkan potensi kompromi sumber daya sistem.
Empat kerentanan pertama memengaruhi Paragon Partition Manager versi 7.9.1 dan sebelumnya, sementara CVE-2025-0298, kelemahan yang dieksploitasi secara aktif, memengaruhi versi 17 dan yang lebih lama.
|
<strong>Baca juga: Kerentanan Rutin Dieksploitasi |
Catatan Keamanan
Pengguna perangkat lunak disarankan untuk memutakhirkan ke versi terbaru, yang berisi BioNTdrv.sys versi 2.0.0, yang mengatasi semua kelemahan yang disebutkan.
Namun, penting untuk dicatat bahwa bahkan pengguna yang tidak menginstal Paragon Partition Manager pun tidak aman dari serangan. Taktik BYOVD tidak bergantung pada keberadaan perangkat lunak di mesin target.
Sebaliknya, pelaku ancaman menyertakan driver yang rentan dengan alat mereka sendiri, yang memungkinkan mereka untuk memuatnya ke Windows dan meningkatkan hak istimewa.
Microsoft telah memperbarui Daftar Blokir Driver yang Rentan untuk memblokir driver agar tidak dimuat di Windows,
Sehingga dengan adanya pembaruan tersebut diharapkan semua pengguna dan organisasi atau perusahaan harus memverifikasi bahwa sistem perlindungan aktif.
Anda dapat memeriksa apakah daftar blokir diaktifkan dengan membuka
Setelan → Privasi & keamanan → Keamanan Windows → Keamanan perangkat → Isolasi inti → Daftar Blokir Driver Rentan Microsoft dan memastikan setelan diaktifkan.
Meskipun tidak jelas geng ransomware mana yang mengeksploitasi kelemahan Paragon, serangan BYOVD telah menjadi semakin populer di kalangan penjahat dunia maya.
Karena serangan ini memungkinkan mereka memperoleh hak istimewa SISTEM dengan mudah pada perangkat Windows dan melakukan apapun pada sistem.
Aktor ancaman yang diketahui menggunakan serangan BYOVD diantaranya adalah:
- Scattered Spider.
- Lazarus.
- Ransomware BlackByte.
- Ransomware LockBit.
- Dan masih banyak lagi.
Atas dasar ini, penting untuk mengaktifkan fitur Daftar Blokir Driver Rentan Microsoft guna mencegah driver rentan digunakan pada perangkat Windows Anda.
Demikian pembahasan mengenai 5 kerentanan Paragon Partition, semoga informasi ini dapat memberi manfaat bagi para pembacanya.
Sumber berita:
