Los investigadores de seguridad cibernética han descubierto múltiples fallas de seguridad en el firmware ControlVault3 de Dell y las API de Windows relacionadas que pueden haber sido abusadas por los atacantes, mantener el acceso incluso después de instalar un nuevo sistema operativo sin pasar por los inicios de sesión de Windows, extraer claves de cifrado e implementar implantes maliciosos que no se detectan en el firmware.
La vulnerabilidad es conocida por Cisco Talos como Codename Revort. Se verán afectados más de 100 modelos de computadoras portátiles Dell que ejecutan el chip de la serie Broadcom BCM5820X. No hay evidencia de que la vulnerabilidad esté siendo explotada en la naturaleza.
La industria que necesita aumentar la seguridad al iniciar sesión a través de lectores de tarjetas inteligentes o lectores de comunicación de campo cercano (NFC) puede usar dispositivos ControlVault en su configuración. ControlVault es una solución de seguridad basada en hardware que proporciona una forma segura de almacenar contraseñas, plantillas biométricas y códigos de seguridad dentro del firmware.
Un atacante puede mantener la persistencia de un sistema comprometido que se presenta en una conferencia de seguridad de Black Hat USA mediante la intensidad de los privilegios después del acceso inicial, pasando por alto los controles de autenticación y las actualizaciones o reinstalaciones del sistema operativo resistente.
Juntas, estas vulnerabilidades crean un poderoso método remoto de persistencia posterior a la compromiso para el acceso oculto a entornos de alto valor. Las vulnerabilidades identificadas son:
CVE-2025-25050 (puntaje CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware CVE-2025-24922 (puntaje CVSS: 8.8): la función SecureBio_identify tiene una vulnerabilidad de desbordamiento de búfer basada en la pila en la función SecureBio_identify que puede conducir a la ejecución del código arbitrario (puntaje CVSS: 8.4)-Read. CVE-2025-24919 (puntuación CVSS: 8.1)-La funcionalidad CVHDecapsulateCMD que puede conducir a la ejecución de código arbitraria tiene la necesidad de eliminar las vulnerabilidades de entrada no confiables
Las compañías de seguridad cibernética también señalan que los atacantes locales con acceso físico a las computadoras portátiles de sus usuarios pueden abrirlo y acceder a un tablero de seguridad de seguridad unificado (USH), lo que permite a los atacantes explotar cualquiera de las cinco vulnerabilidades sin iniciar sesión o poseer una contraseña de cifrado de disco completo.
«El ataque de Revault se puede utilizar como una tecnología de persistencia posterior al conflicto que puede permanecer para toda la reinstalación de Windows», dijo Philippe Laulheret, investigador de Cisco Talos. «Los ataques de Revault también se pueden utilizar como un compromiso físico para que los usuarios locales pasen por alto los inicios de sesión de Windows o obtengan privilegios administrativos/del sistema».
Para mitigar los riesgos planteados por estos defectos, se alienta a los usuarios a aplicar las correcciones proporcionadas por Dell. Si deshabilita el servicio ControlVault y no utiliza periféricos, como lectores de huellas digitales, lectores de tarjetas inteligentes o lectores de comunicación de campo cercano (NFC). Apague el inicio de sesión de la huella digital en situaciones de alto riesgo.
Source link
