ReVault Saldırısı
Siber güvenlik araştırmacıları, Dell'in ControlVault3 aygıt yazılımında ve ilgili Windows API'lerinde ciddi bir güvenlik açığı kümesi ortaya çıkardı. Bu açıklardan yararlanılması halinde, saldırganların Windows oturum açma bilgilerini atlatmalarına, şifreleme anahtarlarını çalmalarına ve işletim sistemi yeniden yüklendikten sonra bile kötü amaçlı ve gizli kodları doğrudan aygıt yazılımına yerleştirerek uzun süreli erişim sağlamalarına olanak tanıyabilir.
İçindekiler
Kimler Risk Altında?
Broadcom BCM5820X serisi yongaları kullanan 100'den fazla Dell dizüstü bilgisayar modeli etkileniyor. Şimdiye kadar aktif bir istismar tespit edilmemiş olsa da, akıllı kart okuyucular veya yakın alan iletişimi (NFC) cihazları aracılığıyla güçlü kimlik doğrulamaya dayanan sektörler için etki özellikle endişe verici.
ControlVault, parolaları, biyometrik şablonları ve güvenlik kodlarını aygıt yazılımında güvenli bir şekilde depolamak üzere tasarlanmıştır. Ne yazık ki, bu açıkların bir araya getirilmesi, saldırganların ayrıcalıkları artırmasına, kimlik doğrulamasını atlamasına ve sistem silindikten veya güncellendikten sonra bile gizli kalmasına olanak tanır.
Beş ReVault Güvenlik Açığı
Araştırmacılar, bu kusur grubuna ReVault kod adını verdiler. Birlikte, yüksek değerli hedeflere gizli erişim sağlayabilen güçlü bir güvenlik ihlali sonrası kalıcılık yöntemi oluşturuyorlar.
- CVE-2025-25050 (CVSS 8.8) – cv_upgrade_sensor_firmware'de sınırların dışında yazma
- CVE-2025-25215 (CVSS 8.8) – cv_close'da keyfi serbestlik
- CVE-2025-24922 (CVSS 8.8) – securebio_identify'da yığın tabanlı arabellek taşması
- CVE-2025-24311 (CVSS 8.4) – cv_send_blockdata'da sınırların dışında okuma
- CVE-2025-24919 (CVSS 8.1) – cvhDecapsulateCmd'de güvenilmeyen girdinin seri durumdan çıkarılması
Bunların her biri, keyfi kod çalıştırmadan bilgi sızıntılarına kadar uzanan ciddi sonuçlara yol açabilir.
Fiziksel Erişim: Saldırganlar İçin Doğrudan Bir Kısayol
Uzaktan erişim olmasa bile, fiziksel erişimi olan yerel bir saldırgan dizüstü bilgisayarı açabilir ve doğrudan Birleşik Güvenlik Merkezi (USH) kartını hedef alabilir. Bu, oturum açmadan veya tam disk şifreleme parolasını bilmeden herhangi bir güvenlik açığından yararlanılmasına olanak tanır.
Bu durum, ReVault'u yalnızca uzaktan kalıcılık tekniği olarak değil, aynı zamanda Windows oturum açmayı atlatmak veya herhangi bir yerel kullanıcıya yönetici ayrıcalıkları vermek için fiziksel bir uzlaşma yöntemi olarak da tehlikeli hale getiriyor.
Riski Azaltma
Güvenlik uzmanları, kullanıcılara Dell'in resmi yamalarını gecikmeden uygulamalarını, biyometrik okuyucular, akıllı kart okuyucular veya NFC okuyucular kullanımda olmadığında ControlVault hizmetlerini devre dışı bırakmalarını ve yüksek riskli ortamlarda olası maruziyeti azaltmak için parmak iziyle oturum açmayı tamamen kapatmalarını tavsiye ediyor. Bu önlemler, saldırganların yetkisiz erişim elde etmek veya ele geçirilmiş cihazlarda kalıcılığı korumak için yararlanabilecekleri bilinen güvenlik açıklarını kapatmaya yardımcı olur. Kuruluşlar, potansiyel olarak savunmasız kimlik doğrulama donanımlarının kullanımını sınırlayarak saldırı alanlarını önemli ölçüde azaltabilirler. Düzenli güvenlik denetimleri ve dikkatli izleme, yeni ortaya çıkan tehditlere karşı sürekli koruma sağlamak için daha geniş kapsamlı savunma stratejisinin bir parçası olmalıdır.
