Attacken auf Sicherheitslecks in Cisco RV-Routern, WhatsUp Gold und Windows - Related to missbrauchen, ermöglicht, sicherheitslecks, paragon-treiber, windows

Angreifer bringen verwundbaren Paragon-Treiber mit und missbrauchen ihn

In dem Treiber "" von Paragons Partition Manager missbrauchen Angreifer eine Sicherheitslücke, durch die sie höhere Rechte im System erlangen. Paragon reagiert mit aktualisierter Software. Da der Treiber ein ordentliches Microsoft-Zertifikat mitbringt, können bösartige Akteure dieses einfach selbst auf Windows-Rechner installieren, ohne weitere Paragon-Software. Microsoft hat deswegen die Block-Liste der verwundbaren Treiber aktualisiert, die das Laden von anfälligen Versionen verhindern soll.

Das CERT weist in einer Sicherheitsmitteilung auf die Schwachstellen hin. In dem Treiber "" vor der nun aktuellen Version , insbesondere die Versionen und aus Paragons Partition Manager sowie 17, klaffen insgesamt fünf Sicherheitslücken. Der Treiber dient dem Low-Level-Zugriff auf Laufwerke mit erhöhten Rechten im Kernel-Kontext, um auf Daten zuzugreifen und sie zu verwalten. Es sind sowohl die kostenlosen Community-Editionen als auch die kommerzielle Version der Software betroffen.

Fünf Sicherheitslücken. Aber in unterschiedlichen Versionen.

Laut CERT hat Microsoft vier Sicherheitslecks in "" von Paragon Partition Manager sowie eine in der Version aus Paragon Partition Manager 17 entdeckt. Die Schwachstellen erlauben Angreifern, an SYSTEM-Rechte zu gelangen, die jene von Administrator noch übertreffen. Der Treiber könne von bösartigen Akteuren mit IOCTLs manipuliert werden, was etwa in erhöhten Rechten oder Systemabstürzen – etwa Blue Screen of Death. BSOD – münden kann. Selbst, wenn die Paragon-Software gar nicht installiert ist, können sie den Treiber einfach mitbringen, um eine Maschine zu kompromittieren. Auch als Bring Your Own Vulnerable Driver (BYOVD) bekannt.

Und genau das hat Microsoft der Mitteilung zufolge beobachtet. In Ransomware-Angriffen haben die Täter Version von "" mitgebracht, um ihre Rechte im System auszuweiten und bösartigen Code auszuführen.

Die fünf Schwachstellen haben CVE-Einträge erhalten. Die jedoch bisher nicht öffentlich sind. In Version des Paragon Partition Manager hat Microsoft vier Lecks gemeldet: Der Treiber überprüft bei einer memmove -Funktion Nutzer-übergebene Daten nicht. Wodurch Angreifer beliebig in Kernel-Speicher schreiben und erhöhte Rechte erlangen können (CVE-2025-0288). Eine Null-Pointer-Dereferenzierung erlaubt die Ausführung beliebigen Kernel-Codes, was ebenfalls zur Rechteausweitung dienen kann (CVE-2025-0287). Durch beliebigen Schreibzugriff auf Kernel-Speicher aufgrund unzureichender Längenprüfungen von Nutzer-übergebenen Daten können Angreifer beliebigen Code ausführen (CVE-2025-0286). Außerdem kann eine ähnliche Lücke beim Speichermapping des Kernels zur Ausweitung der Rechte von Angreifern führen (CVE-2025-0285).

Nur in Version 17 der Software tritt im Treiber potenziell der Fehler auf, dass bei der Übergabe eines "MappedSystemVa"-Zeigers keine Prüfung stattfindet. Bevor er an "HalReturnToFirmware" übergeben wird. Dadurch können Angreifer den Dienst kompromittieren (CVE-2025-0289).

Paragon hat aktualisierte Fassungen vom Paragon Partition Manager veröffentlicht. Die den Treiber "" in der nicht mehr anfälligen Version mitbringen. Daher sollten Admins und IT-Verantwortliche ebenso wie Endanwender, die die Paragon-Software installiert haben, die Updates auf die neuen Versionen zügig anwenden. Unter Windows 11 ist die Liste der blockierten verwundbaren Treiber standardmäßig aktiv, unter Windows 10 muss sie in den Windows-Sicherheitseinstellungen manuell aktiviert werden. Microsoft hat den Treiber auf diese Liste verfrachtet; ob er bereits in der Aktualisierung aus der upgrade-Vorschau aus dem Januar und mit den Februar-Updates für Windows bereits verteilt wurde, die explizit eine Aktualisierung der BYOVD-Block-Listen enthalten, erörtert das CERT jedoch nicht.

Threat actors have been exploiting a security vulnerability in Paragon Partition Manager's driver in ransomware attacks to escalate privi...

Brazil, South Africa, Indonesia, Argentina. And Thailand have become the targets of a campaign that has infected Android TV devices with a botnet malw...

​Microsoft says a coding issue is behind a now-resolved Microsoft 365 outage over the weekend that affected Outlook and Exchange Online authentication...

Attacken auf Sicherheitslecks in Cisco RV-Routern, WhatsUp Gold und Windows

Die US-amerikanische IT-Sicherheitsbehörde warnt vor beobachteten Angriffen auf Schwachstellen in Cisco RV-Routern, Hitachi Vantara, WhatsUp Gold und Windows. Die Lücken sind zum Teil bereits sieben Jahre alt, Updates zum Abdichten stehen bereit. IT-Verantwortliche sollten prüfen, ob in den betreuten Netzwerkumgebungen möglicherweise verwundbare Installationen oder Geräte bislang unentdeckt geblieben sind.

In der CISA-Warnung nennt die Behörde fünf Sicherheitslücken, von denen sie Kenntnis hat. Dass sie derzeit aktiv angegriffen werden. In den Small-Business-Routern der RV-Serie von Cisco klaffte bis zu einem upgrade aus dem April 2023 in der webbasierten Verwaltungsoberfläche eine Sicherheitslücke, durch die authentifizierte Angreifer aus dem Netz beliebige Befehle ausführen können; das Senden sorgsam präparierter HTTP-Pakete genügt (CVE-2023-20118. CVSS , Risiko "mittel").

In Hitachis Vantara Pentaho BA-Server greifen Kriminelle hingegen zwei Schwachstellen an. Eine Lücke erlaubt die Umgehung der Autorisierung (CVE-2022-43939, CVSS , Risiko "hoch"), die andere erlaubt das Einschleusen "spezieller Elemente", genauer von Spring-Templates (CVE-2022-43769. CVSS , Risiko "hoch"). Auch diese Lücken wurden im April 2023 gemeldet.

Die älteste, derzeit angegriffene Lücke betrifft die Win32k-Komponente von Windows, sie ermöglicht die Ausweitung der Rechte im System (CVE-2018-8639. CVSS , Risiko "hoch"). Betroffen waren Windows-Versionen bis Windows 10 und Windows Server 2019. In WhatsUp Gold von Progress hat der Hersteller Mitte vergangenen Jahres eine Sicherheitslücke gestopft, eine Directory-Traversal-Schwachstelle, durch die Angreifer ohne vorherige Anmeldung beliebigen Code einschleusen und ausführen konnten (CVE-2024-4885, CVSS . Risiko "kritisch").

Die CISA macht keine Angaben dazu, wie die Angriffe aussehen und in welchem Umfang sie stattfinden. Admins sollten jedoch prüfen, ob sie die verwundbare Software noch im Einsatz haben, diese aktualisieren und auf potenzielle Einbrüche untersuchen.

Lesen Sie auch CISA warnt vor Angriffen auf Microsoft Partner Center und Zimbra heise Security.

Additionally, in der vergangenen Woche hatte die US-Behörde CISA bereits vor Attacken auf das Microsoft Partner Center und die Groupware Zimbra warnen müssen. Die ins Visier von bösartigen Akteuren gelangten. Nur einen Tag davor gab es Hinweise der CISA zu laufenden Attacken auf Adobe Coldfusion und Oracle Agile PLM.

Cybersecurity researchers have flagged an updated version of the LightSpy implant that comes equipped with an expanded set of data collection capabilities...

The Cybersecurity and Infrastructure Security Agency (CISA) on Monday added five security flaws impacting software from Cisco, Hitachi Vantara. M...

The Cybersecurity and Infrastructure Security Agency (CISA) has added two security flaws impacting Adobe ColdFusion and Oracle Agile Product Life...

Zohocorp ADSelfService Plus: Sicherheitsleck ermöglicht Kontenübernahme

In Zohocorps ADSelfService Plus können Angreifer eine Sicherheitslücke missbrauchen, um Konten zu übernehmen. Aktualisierte Software stopft das Sicherheitsleck. IT-Verantwortliche sollten es zeitnah anwenden.

In der Sicherheitsmitteilung von Zohocorp schreiben die Entwickler des Unternehmens, dass die Schwachstelle auf fehlerhaftes Session-Handling in ADSelfService Plus zurückgeht. Dadurch könne nicht autorisierter Zugriff aus User-Enrollment-Daten erfolgen, sofern Multi-Faktor-Authentifizierung für ADSelfService-Plus-Log-ins nicht aktiviert war. In der Folge konnten unautorisiert Nutzerdaten entfleuchen und damit möglicherweise Kontenübernahmen erfolgen (CVE-2025-1723, CVSS , Risiko "hoch").

ADSelfService-Plus-Leck: Aktualisierung verfügbar.

Additionally, in der Schwachstellenbeschreibung des CVE-Eintrags beim NIST ergänzt Zohocorp. Dass lediglich Inhaber gültiger Konten diesen Fehler hätten missbrauchen können. Die Schwachstelle betrifft ADSelfServcie Plus 6510 und ältere Builds.

Am Mittwoch vergangener Woche, den 26. Februar, hat das Unternehmen das upgrade auf Version 6511 herausgegeben. Es soll die Sicherheitslücke abdichten. "Das Problem wurde in ADSelfService Plus 6511 durch Sicherstellen davon gelöst, dass Enrollment-Daten nur für den User zugreifbar sind, der aktuell authentifiziert ist". Erklärt Zohocorp.

Zohocorps ADelfService Plus bietet eine webbasierte Verwaltung für Identitäten in lokalen sowie Cloud-Umgebungen und den Mischformen daraus. Sie soll Schutz bieten vor Angriffen auf diese Identitäten und die zentrale Verwaltung ermöglichen. Die Schwachstelle hat genau diese Funktionen jedoch ausgehebelt.

Lesen Sie auch Zoho ManageEngine Applications Manager: Sicherheitslücke verschafft Admin-Rechte heise Security.

Zuletzt hatte Zohocorp Ende Januar vor einer Sicherheitslücke in ManageEngine Applications Manager gewarnt. Bösartige Akteure konnten sich dadurch Administrator-Rechte an verwundbaren Systemen verschaffen. Auch dort hatte das Unternehmen die Sicherheitslücke als hohes Risiko eingestuft.

​Microsoft says a coding issue is behind a now-resolved Microsoft 365 outage over the weekend that affected Outlook and Exchange Online authentication...

This week. A 23-year-old Serbian activist found themselves at the crossroads of digital danger when a sneaky zero-day exploit turned their Android dev...