CSIRT Toscana Paragon Partition Manager: rilevato sfruttamento in rete della CVE-2025-0289 (AL03/250303/CSIRT-ITA)
Data:
3 Marzo 2025 17:43
Impatto Sistemico
Critico (76.66)
Sintesi
Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-0289 presente su molteplici prodotti basati su Paragon Hard Disk Manager.
Descrizione e potenziali impatti
Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-0289 – sfruttata come 0-day – presente su molteplici prodotti basati su Paragon Hard Disk Manager.
Tale vulnerabilità, insieme ad altre quattro rilevate dai ricercatori, è presente nel driver di sistema “BioNTdrv.sys” (versioni 1.3.0 o 1.5.1), incluso in numerosi prodotti Paragon, e potrebbe consentire a un utente malintenzionato l’elevazione dei privilegi sul sistema target.
Da notare che tali vulnerabilità possono essere sfruttate anche se il software non è installato sul sistema, tramite la tecnica nota come “Bring Your Own Vulnerable Driver” (BYOVD). Questa tecnica prevede che l’utente malintenzionato installi un driver lecito, quindi considerato come sicuro dai sistemi di sicurezza, ma affetto da vulnerabilità sfruttabili per compromettere il sistema target.
Per eventuali ulteriori approfondimenti si consiglia di consultare i link all’analisi, disponibili nella sezione Riferimenti.
Tipologia
- Privilege Escalation
Prodotti e/o versioni affette
Paragon
- Hard Disk Manager 15-17, versioni precedenti alla 17.39
- Partition Manager 15-17, versioni precedenti alla 17.39
- Backup & Recovery 15-17, versioni precedenti alla 17.39
- Drive Copy 15-16, tutte le versioni (N.B. Prodotto in End of Life)
- Disk Wiper 15-16, tutte le versioni (N.B. Prodotto in End of Life)
- Migrate OS to SSD 4-5, tutte le versioni (N.B. Prodotto in End of Life)
- Partition Manager 7.9.1 (N.B. Prodotto in End of Life)
Azioni di mitigazione
Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni fornite dal vendor e riportate nel bollettino di sicurezza disponibile al link nella sezione Riferimenti.
Si raccomanda, inoltre, di accertarsi che la funzionalità “Vulnerable Driver Blocklist” di Microsoft Windows sia abilitata, anche qualora i prodotti vulnerabili non fossero installati.
Riferimenti
- https://paragon-software.zendesk.com/hc/en-us/articles/32993902732817-IMPORTANT-Paragon-Driver-Security-Patch-for-All-Products-of-Hard-Disk-Manager-Product-Line-Biontdrv-sys
- https://kb.cert.org/vuls/id/726882
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 03-03-2025 | 03/03/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link