Ataque ReVault
Pesquisadores de segurança cibernética revelaram um conjunto grave de vulnerabilidades de segurança no firmware ControlVault3 da Dell e nas APIs do Windows relacionadas. Se exploradas, essas falhas podem permitir que invasores ignorem o login do Windows, roubem chaves criptográficas e mantenham acesso de longo prazo, mesmo após a reinstalação do sistema operacional, implantando código malicioso e furtivo diretamente no firmware.
Índice
Quem está em risco?
Mais de 100 modelos de laptops Dell com chips da série Broadcom BCM5820X foram afetados. Embora nenhuma exploração ativa tenha sido detectada até o momento, o impacto é particularmente preocupante para setores que dependem de autenticação forte por meio de leitores de cartão inteligente ou dispositivos de comunicação de campo próximo (NFC).
O ControlVault foi projetado para armazenar com segurança senhas, modelos biométricos e códigos de segurança em firmware. Infelizmente, o encadeamento dessas falhas permite que invasores aumentem privilégios, ignorem a autenticação e permaneçam ocultos mesmo após limpezas ou atualizações do sistema.
As cinco vulnerabilidades do ReVault
Pesquisadores atribuíram o codinome ReVault a esse grupo de falhas. Juntas, elas formam um poderoso método de persistência pós-comprometimento, capaz de acesso secreto a alvos de alto valor.
- CVE-2025-25050 (CVSS 8.8) – Gravação fora dos limites em cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Liberdade arbitrária em cv_close
- CVE-2025-24922 (CVSS 8.8) – Estouro de buffer baseado em pilha em securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Leitura fora dos limites em cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Desserialização de entrada não confiável em cvhDecapsulateCmd
Cada um deles pode levar a resultados graves, desde execução arbitrária de código até vazamentos de informações.
Acesso físico: um atalho direto para invasores
Mesmo sem exploração remota, um invasor local com acesso físico poderia abrir o laptop e atingir diretamente a placa do Unified Security Hub (USH). Isso permitiria a exploração de qualquer uma das vulnerabilidades sem precisar fazer login ou saber a senha de criptografia completa do disco.
Isso torna o ReVault perigoso não apenas como uma técnica de persistência remota, mas também como um método de comprometimento físico para ignorar o login do Windows ou conceder privilégios administrativos a usuários locais.
Reduzindo o Risco
Especialistas em segurança recomendam que os usuários apliquem os patches oficiais da Dell sem demora, desabilitem os serviços do ControlVault quando leitores biométricos, leitores de cartão inteligente ou leitores NFC não estiverem em uso e, em ambientes de alto risco, desabilitem completamente o login por impressão digital para reduzir a potencial exposição. Essas medidas ajudam a fechar brechas de segurança conhecidas que invasores podem explorar para obter acesso não autorizado ou manter a persistência em dispositivos comprometidos. Ao limitar o uso de hardware de autenticação potencialmente vulnerável, as organizações podem reduzir significativamente sua superfície de ataque. Auditorias de segurança regulares e monitoramento rigoroso também devem fazer parte de uma estratégia de defesa mais ampla para garantir proteção contínua contra ameaças emergentes.
