As vulnerabilidades de firmware do ControlVault3 que afetam mais de 100 modelos de laptop Dell podem permitir que invasores ignorem o login do Windows e instalem malware que persiste nas reinstalações do sistema.
O Dell ControlVault é uma solução de segurança baseada em hardware que armazena senhas, dados biométricos e códigos de segurança no firmware em uma placa-filha dedicada, conhecida como Unified Security Hub (USH).
As cinco vulnerabilidades, relatadas pela divisão de segurança Talos da Cisco e apelidadas de “ReVault“, afetam o firmware do ControlVault3 e suas interfaces de programação de aplicativos (APIs) do Windows nas séries de notebooks Latitude e Precision da Dell voltadas para negócios.
Esses dispositivos são populares em ambientes de segurança cibernética, governamentais e industriais, onde cartões inteligentes, impressões digitais e NFC também são comumente usados para autenticação.
A lista completa de vulnerabilidades do ReVault inclui falhas fora dos limites (CVE-2025-24311, CVE-2025-25050), uma vulnerabilidade gratuita arbitrária (CVE-2025-25215), um estouro de pilha (CVE-2025-24922 e um problema de desserialização insegura (CVE-2025-24919) que afeta as APIs do Windows do ControlVault.
Vale lançou atualizações de segurança para resolver as falhas do ReVault no driver e firmware do ControlVault3 entre março e maio. A lista completa de modelos afetados está disponível em Comunicado de segurança da Dell.
Desvio de login do Windows e escalonamento de privilégios
O encadeamento dessas vulnerabilidades pode permitir que os invasores obtenham a execução arbitrária de código no firmware, potencialmente criando implantes persistentes que sobrevivem às reinstalações do Windows.
Eles também podem aproveitar o acesso físico para ignorar o login do Windows ou escalar privilégios de usuário local para o nível de administrador.
“Um invasor local com acesso físico ao laptop de um usuário pode abri-lo e acessar diretamente a placa USH por USB com um conector personalizado” Cisco Talos ele disse.
“A partir daí, todas as vulnerabilidades descritas anteriormente tornam-se dentro do escopo do invasor sem exigir a capacidade de fazer login no sistema ou saber uma senha de criptografia de disco completo.”
A exploração bem-sucedida também pode permitir que invasores manipulem a autenticação de impressão digital, forçando o dispositivo de destino para aceitar qualquer impressão digital em vez de apenas os de usuários legítimos.
O Talos recomenda manter os sistemas atualizados por meio do Windows Update ou do site da Dell, desabilitar periféricos de segurança não utilizados, como leitores de impressão digital, leitores de cartão inteligente e leitores NFC, e desabilitar o login de impressão digital em situações de alto risco.
Para mitigar alguns dos ataques físicos, os pesquisadores também sugeriram habilitar a detecção de intrusão de chassi nas configurações do BIOS do computador para sinalizar tentativas de adulteração física e Enhanced Sign-in Security (ESS) no Windows para detectar firmware CV inadequado.
