ReVault-angreb
Cybersikkerhedsforskere har afsløret et alvorligt sæt sikkerhedssårbarheder i Dells ControlVault3-firmware og relaterede Windows API'er. Hvis disse fejl udnyttes, kan de give angribere mulighed for at omgå Windows-login, stjæle kryptografiske nøgler og opretholde langvarig adgang, selv efter en geninstallation af operativsystemet, ved at implantere ondsindet, skjult kode direkte i firmwaren.
Indholdsfortegnelse
Hvem er i fare?
Over 100 Dell bærbare modeller, der bruger Broadcom BCM5820X-serien af chips, er berørt. Selvom der ikke er registreret aktiv udnyttelse indtil videre, er virkningen særligt bekymrende for brancher, der er afhængige af stærk autentificering via smartkortlæsere eller NFC-enheder (Near-Field Communication).
ControlVault er designet til sikkert at gemme adgangskoder, biometriske skabeloner og sikkerhedskoder i firmware. Desværre giver kædekobling af disse fejl angribere mulighed for at eskalere privilegier, omgå godkendelse og forblive skjult, selv efter systemsletning eller opdateringer.
De fem ReVault-sårbarheder
Forskere har givet denne gruppe af fejl kodenavnet ReVault. Sammen danner de en kraftfuld post-compromise persistensmetode, der er i stand til hemmelig adgang til mål af høj værdi.
- CVE-2025-25050 (CVSS 8.8) – Skrivning uden for grænserne i cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Vilkårlig frihed i cv_close
- CVE-2025-24922 (CVSS 8.8) – Stack-baseret bufferoverløb i securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Uden for grænserne læst i cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Deserialisering af upålidelig input i cvhDecapsulateCmd
Hver af disse kan føre til alvorlige konsekvenser, lige fra vilkårlig kodeudførelse til informationslækager.
Fysisk adgang: En direkte genvej for angribere
Selv uden fjernudnyttelse kunne en lokal angriber med fysisk adgang åbne den bærbare computer og målrette Unified Security Hub (USH)-kortet direkte. Dette ville muliggøre udnyttelse af enhver af sårbarhederne uden at logge ind eller kende den fulde diskkrypteringsadgangskode.
Dette gør ReVault farlig, ikke kun som en fjernpersistensteknik, men også som en fysisk kompromitteringsmetode til at omgå Windows-login eller give lokale brugere administratorrettigheder.
Reduktion af risikoen
Sikkerhedseksperter råder brugerne til at installere Dells officielle programrettelser med det samme, deaktivere ControlVault-tjenester, når biometriske læsere, smartkortlæsere eller NFC-læsere ikke er i brug, og i højrisikomiljøer helt deaktivere fingeraftrykslogin for at reducere potentiel eksponering. Disse foranstaltninger hjælper med at lukke kendte sikkerhedshuller, som angribere kan udnytte til at få uautoriseret adgang eller opretholde persistens på kompromitterede enheder. Ved at begrænse brugen af potentielt sårbar godkendelseshardware kan organisationer reducere deres angrebsflade betydeligt. Regelmæssige sikkerhedsrevisioner og årvågen overvågning bør også være en del af den bredere forsvarsstrategi for at sikre løbende beskyttelse mod nye trusler.
