Pesquisadores de cibersegurança descobriram múltiplas falhas de segurança no firmware ControlVault3 da Dell e suas APIs Windows associadas que poderiam ter sido abusadas por atacantes para burlar o login do Windows, extrair chaves criptográficas, bem como manter acesso mesmo após uma nova instalação do sistema operacional, implantando implantes maliciosos indetectáveis no firmware.
As vulnerabilidades foram codinomeadas ReVault pela Cisco Talos.
Mais de 100 modelos de laptops Dell que operam com os chips da série Broadcom BCM5820X são afetados.
Não há evidências de que as vulnerabilidades tenham sido exploradas na prática.
As indústrias que requerem segurança elevada ao fazer login, via leitores de cartão inteligente (smart card readers) ou leitores de comunicação por campo de proximidade (NFC), provavelmente usam dispositivos ControlVault em suas configurações.
O ControlVault é uma solução de segurança baseada em hardware que oferece uma maneira segura de armazenar senhas, modelos biométricos e códigos de segurança dentro do firmware.
Os atacantes podem encadear as vulnerabilidades, que foram apresentadas na conferência de segurança Black Hat USA, para escalar seus privilégios após o acesso inicial, burlar controles de autenticação e manter persistência nos sistemas comprometidos que sobrevivem a atualizações ou reinstalações do sistema operacional.
Juntas, essas vulnerabilidades criam um potente método de persistência pós-compromisso remoto para acesso oculto a ambientes de alto valor.
As vulnerabilidades identificadas são as seguintes:
-
CVE-2025-25050
(pontuação CVSS: 8.8) - Existe uma vulnerabilidade de gravação fora dos limites na funcionalidade cv_upgrade_sensor_firmware que pode levar a uma gravação fora dos limites;
-
CVE-2025-25215
(pontuação CVSS: 8.8) - Existe uma vulnerabilidade de liberação arbitrária na funcionalidade cv_close que pode levar a uma liberação arbitrária;
-
CVE-2025-24922
(pontuação CVSS: 8.8) - Existe uma vulnerabilidade de estouro de buffer baseada em pilha na funcionalidade securebio_identify que pode levar à execução arbitrária de código;
-
CVE-2025-24311
(pontuação CVSS: 8.4) - Existe uma vulnerabilidade de leitura fora dos limites na funcionalidade cv_send_blockdata que pode levar ao vazamento de informações;
-
CVE-2025-24919
(pontuação CVSS: 8.1) - Existe uma vulnerabilidade de desserialização de entrada não confiável na funcionalidade cvhDecapsulateCmd que pode levar à execução arbitrária de código.
A empresa de cibersegurança também apontou que um atacante local com acesso físico ao laptop de um usuário poderia abri-lo e acessar a placa do Unified Security Hub (USH), permitindo que um atacante explorasse qualquer uma das cinco vulnerabilidades sem precisar fazer login ou possuir uma senha de criptografia de disco inteiro.
"O ataque ReVault pode ser usado como uma técnica de persistência pós-compromisso que pode permanecer mesmo após reinstalações do Windows", disse o pesquisador da Cisco Talos, Philippe Laulheret.
O ataque ReVault também pode ser usado como um comprometimento físico para burlar o Login do Windows e/ou para qualquer usuário local obter privilégios de Admin/Sistema.
Para mitigar o risco apresentado por essas falhas, recomenda-se que os usuários apliquem as correções fornecidas pela Dell; desativem os serviços ControlVault se periféricos como leitores de impressão digital, leitores de cartão inteligente e leitores NFC não estiverem sendo usados; e desativem o login por impressão digital em situações de alto risco.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...