Attacco ReVault
I ricercatori di sicurezza informatica hanno rivelato una seria serie di vulnerabilità di sicurezza nel firmware ControlVault3 di Dell e nelle relative API di Windows. Se sfruttate, queste falle potrebbero consentire agli aggressori di bypassare l'accesso a Windows, rubare chiavi crittografiche e mantenere l'accesso a lungo termine anche dopo la reinstallazione del sistema operativo, impiantando codice dannoso e stealth direttamente nel firmware.
Sommario
Chi è a rischio?
Sono interessati oltre 100 modelli di laptop Dell che utilizzano chip Broadcom serie BCM5820X. Sebbene finora non sia stato rilevato alcun attacco attivo, l'impatto è particolarmente preoccupante per i settori che si affidano all'autenticazione forte tramite lettori di smart card o dispositivi NFC (Near Field Communication).
ControlVault è progettato per archiviare in modo sicuro password, modelli biometrici e codici di sicurezza nel firmware. Sfortunatamente, concatenare queste falle consente agli aggressori di aumentare i privilegi, bypassare l'autenticazione e rimanere nascosti anche dopo la cancellazione o l'aggiornamento del sistema.
Le cinque vulnerabilità di ReVault
I ricercatori hanno assegnato il nome in codice ReVault a questo gruppo di falle. Insieme, formano un potente metodo di persistenza post-compromissione in grado di accedere in modo occulto a obiettivi di alto valore.
- CVE-2025-25050 (CVSS 8.8) – Scrittura fuori dai limiti in cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Arbitrario libero in cv_close
- CVE-2025-24922 (CVSS 8.8) – Overflow del buffer basato sullo stack in securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Lettura fuori limite in cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Deserializzazione di input non attendibili in cvhDecapsulateCmd
Ognuna di queste può avere conseguenze gravi, che vanno dall'esecuzione di codice arbitrario alla fuga di informazioni.
Accesso fisico: una scorciatoia diretta per gli aggressori
Anche senza sfruttamento remoto, un aggressore locale con accesso fisico potrebbe aprire il laptop e colpire direttamente la scheda Unified Security Hub (USH). Ciò consentirebbe di sfruttare una qualsiasi delle vulnerabilità senza dover effettuare l'accesso o conoscere la password di crittografia dell'intero disco.
Ciò rende ReVault pericoloso non solo come tecnica di persistenza remota, ma anche come metodo di compromissione fisica per aggirare l'accesso a Windows o concedere privilegi amministrativi a qualsiasi utente locale.
Riduzione del rischio
Gli esperti di sicurezza consigliano agli utenti di applicare senza indugio le patch ufficiali di Dell, di disattivare i servizi ControlVault quando non si utilizzano lettori biometrici, lettori di smart card o lettori NFC e, in ambienti ad alto rischio, di disattivare completamente l'accesso tramite impronta digitale per ridurre la potenziale esposizione. Queste misure contribuiscono a colmare le lacune di sicurezza note che gli aggressori potrebbero sfruttare per ottenere accessi non autorizzati o mantenere la persistenza sui dispositivi compromessi. Limitando l'uso di hardware di autenticazione potenzialmente vulnerabile, le organizzazioni possono ridurre significativamente la propria superficie di attacco. Audit di sicurezza regolari e un monitoraggio attento dovrebbero inoltre far parte della più ampia strategia di difesa per garantire una protezione continua contro le minacce emergenti.
