Laut BleepingComputer hat Microsoft den Treiber BioNTdrv.sys aufgrund der Entdeckung einer Sicherheitslücke, die von Hackern ausgenutzt werden könnte, zur Sperrliste hinzugefügt. Die Schwachstellen wurden in einem Kernel-Treiber in der Software Paragon Partition Manager gefunden. Hacker können diesen Treiber ausnutzen, um die Kontrolle auf Systemebene über Windows zu erlangen und so Ransomware-Angriffe zu starten. Wenn diese Software bereits auf dem Zielgerät installiert ist, kann ein Angreifer die vorhandene Sicherheitslücke ausnutzen. Umgekehrt können sie diesen Treiber auch installieren, um das System auf ihre eigene Weise zu infiltrieren.

Laut CERT/CC könnten diese Schwachstellen einem Angreifer mit lokalem Zugriff auf das Gerät ermöglichen, seine Berechtigungen zu erhöhen oder einen Denial-of-Service-Zustand (DoS) herbeizuführen. Insbesondere da der Treiber BioNTdrv.sys von Microsoft digital signiert ist, können Hacker die BYOVD-Technik (Bring Your Own Vulnerable Driver) anwenden und sich dabei legitime, aber anfällige Treiber zunutze machen, um das System auszunutzen.

Laut Microsoft betreffen vier der fünf Sicherheitslücken Paragon Partition Manager Version 7.9.1 und früher, während die fünfte (CVE-2025-0298) Version 17 und früher betrifft. Dies ist auch eine Schwachstelle, die von Hackern bei jüngsten Ransomware-Angriffen aktiv ausgenutzt wurde.

Um das Risiko zu minimieren, empfiehlt Microsoft den Benutzern, ihre Software auf die neueste Version zu aktualisieren, die mit dem gepatchten BioNTdrv.sys 2.0.0 geliefert wird. Zusätzlich zur Aktualisierung der Software sollten Benutzer auch die Blockliste anfälliger Treiber von Microsoft überprüfen und aktivieren, indem sie zu Einstellungen > Datenschutz und Sicherheit > Windows-Sicherheit > Gerätesicherheit > Kernisolierung > Microsoft-Blockliste anfälliger Treiber gehen und sicherstellen, dass die Funktion aktiviert ist.