Atac ReVault
Cercetătorii în domeniul securității cibernetice au dezvăluit un set grav de vulnerabilități de securitate în firmware-ul ControlVault3 de la Dell și în API-urile Windows aferente. Dacă sunt exploatate, aceste vulnerabilități ar putea permite atacatorilor să ocolească autentificarea în Windows, să fure chei criptografice și să mențină accesul pe termen lung chiar și după reinstalarea sistemului de operare, prin implantarea de cod malițios și ascuns direct în firmware.
Cuprins
Cine este în pericol?
Peste 100 de modele de laptopuri Dell care utilizează cipuri din seria Broadcom BCM5820X sunt afectate. Deși până în prezent nu a fost detectată nicio exploatare activă, impactul este îngrijorător în special pentru industriile care se bazează pe autentificarea puternică prin cititoare de carduri inteligente sau dispozitive de comunicare în câmp apropiat (NFC).
ControlVault este conceput pentru a stoca în siguranță parole, șabloane biometrice și coduri de securitate în firmware. Din păcate, înlănțuirea acestor vulnerabilități permite atacatorilor să escaladeze privilegiile, să ocolească autentificarea și să rămână ascunși chiar și după ștergeri sau actualizări de sistem.
Cele cinci vulnerabilități ReVault
Cercetătorii au atribuit acestui grup de defecte numele de cod ReVault. Împreună, ele formează o metodă puternică de persistență post-compromis, capabilă de acces secret la ținte de mare valoare.
- CVE-2025-25050 (CVSS 8.8) – Scriere în afara limitelor în cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Fără modificări arbitrare în cv_close
- CVE-2025-24922 (CVSS 8.8) – Depășire a memoriei tampon bazată pe stivă în securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Citire în afara limitelor în cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Deserializarea intrărilor nesigure în cvhDecapsulateCmd
Fiecare dintre acestea poate duce la consecințe grave, de la executarea arbitrară de cod până la scurgeri de informații.
Accesul fizic: o scurtătură directă pentru atacatori
Chiar și fără exploatare de la distanță, un atacator local cu acces fizic ar putea deschide laptopul și viza direct placa Unified Security Hub (USH). Acest lucru ar permite exploatarea oricăreia dintre vulnerabilități fără a fi nevoie de conectare sau de cunoașterea parolei de criptare complete a discului.
Acest lucru face ca ReVault să fie periculos nu doar ca tehnică de persistență la distanță, ci și ca metodă de compromis fizic pentru ocolirea autentificării Windows sau acordarea de privilegii administrative pentru utilizatorii locali.
Reducerea riscului
Experții în securitate recomandă utilizatorilor să aplice fără întârziere patch-urile oficiale Dell, să dezactiveze serviciile ControlVault atunci când cititoarele biometrice, cititoarele de carduri inteligente sau cititoarele NFC nu sunt utilizate și, în mediile cu risc ridicat, să dezactiveze complet autentificarea cu amprentă digitală pentru a reduce expunerea potențială. Aceste măsuri ajută la închiderea lacunelor de securitate cunoscute pe care atacatorii le-ar putea exploata pentru a obține acces neautorizat sau pentru a menține persistența pe dispozitivele compromise. Prin limitarea utilizării hardware-ului de autentificare potențial vulnerabil, organizațiile își pot reduce semnificativ suprafața de atac. Auditurile regulate de securitate și monitorizarea vigilentă ar trebui, de asemenea, să facă parte din strategia mai amplă de apărare pentru a asigura protecția continuă împotriva amenințărilor emergente.
