ReVault-aanval
Cybersecurityonderzoekers hebben een aantal ernstige beveiligingslekken ontdekt in de ControlVault3-firmware van Dell en bijbehorende Windows API's. Als deze kwetsbaarheden worden uitgebuit, kunnen aanvallers de Windows-aanmelding omzeilen, cryptografische sleutels stelen en zelfs na een herinstallatie van het besturingssysteem langdurig toegang behouden door schadelijke, heimelijke code rechtstreeks in de firmware te implementeren.
Inhoudsopgave
Wie loopt er risico?
Meer dan 100 Dell laptopmodellen met chips uit de Broadcom BCM5820X-serie zijn getroffen. Hoewel er tot nu toe geen actieve aanvallen zijn gedetecteerd, is de impact met name zorgwekkend voor sectoren die afhankelijk zijn van sterke authenticatie via smartcardlezers of NFC-apparaten (Near Field Communication).
ControlVault is ontworpen om wachtwoorden, biometrische sjablonen en beveiligingscodes veilig op te slaan in firmware. Helaas stelt het aaneenrijgen van deze kwetsbaarheden aanvallers in staat om privileges te verhogen, authenticatie te omzeilen en verborgen te blijven, zelfs na systeemwissingen of updates.
De vijf ReVault-kwetsbaarheden
Onderzoekers hebben deze groep kwetsbaarheden de codenaam ReVault gegeven. Samen vormen ze een krachtige persistentiemethode na een compromittering die geheime toegang tot waardevolle doelwitten mogelijk maakt.
- CVE-2025-25050 (CVSS 8.8) – Out-of-bounds-schrijven in cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Willekeurige vrijgave in cv_close
- CVE-2025-24922 (CVSS 8.8) – Stack-gebaseerde bufferoverloop in securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Out-of-bounds lezen in cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Deserialisatie van niet-vertrouwde invoer in cvhDecapsulateCmd
Elk van deze problemen kan ernstige gevolgen hebben, variërend van willekeurige code-uitvoering tot informatielekken.
Fysieke toegang: een directe snelkoppeling voor aanvallers
Zelfs zonder externe toegang zou een lokale aanvaller met fysieke toegang de laptop kunnen openen en direct de Unified Security Hub (USH)-kaart kunnen aanvallen. Dit zou het mogelijk maken om kwetsbaarheden te misbruiken zonder in te loggen of het volledige wachtwoord voor schijfversleuteling te kennen.
Hierdoor is ReVault niet alleen gevaarlijk als techniek voor persistentie op afstand, maar ook als een fysieke manier om Windows-aanmelding te omzeilen of beheerdersrechten aan lokale gebruikers te verlenen.
Het risico verminderen
Beveiligingsexperts adviseren gebruikers om de officiële patches van Dell onmiddellijk te installeren, ControlVault-services uit te schakelen wanneer biometrische lezers, smartcardlezers of NFC-lezers niet in gebruik zijn en, in risicovolle omgevingen, vingerafdrukaanmelding volledig uit te schakelen om mogelijke blootstelling te verminderen. Deze maatregelen helpen bekende beveiligingslekken te dichten die aanvallers kunnen misbruiken om ongeautoriseerde toegang te verkrijgen of om persistentie te behouden op gecompromitteerde apparaten. Door het gebruik van potentieel kwetsbare authenticatiehardware te beperken, kunnen organisaties hun aanvalsoppervlak aanzienlijk verkleinen. Regelmatige beveiligingsaudits en waakzame monitoring zouden ook deel moeten uitmaken van de bredere verdedigingsstrategie om continue bescherming tegen opkomende bedreigingen te garanderen.
