I ricercatori di Cisco Talos hanno scoperto cinque vulnerabilità nel firmware ControlVault3 e nelle API Windows associate di oltre 100 notebook prodotti da Dell. Attraverso un attacco denominato ReVault è possibile aggirare il login e ottenere privilegi di amministratore, quindi prendere il controllo del sistema operativo. Le patch sono state rilasciate tra marzo e giugno.
Descrizione dell’attacco ReVault
Le cinque vulnerabilità sono indicate con CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919. Dell ha pubblicato il relativo bollettino di sicurezza il 13 giugno. Solo ora gli esperti di Cisco Talos hanno pubblicati i dettagli, in quanto non ci sono exploit in circolazione.
Le cinque vulnerabilità sono presenti in altrettante funzionalità del firmware ControlVault3 e ControlVault3+ installato nei chip Broadcom BCM5820X di oltre 100 modelli di notebook Dell. ControlVault è una soluzione di sicurezza basata su hardware che permette di conservare in modo sicuro password, dati biometrici e codici di sicurezza all’interno del firmware (in pratica è simile al chip TPM).
Le funzionalità vengono fornite tramite una scheda nota come come Unified Security Hub (USH) e utilizzata per il collegamento di varie periferiche di sicurezza, tra cui lettori di impronte digitali, lettori di smart card e lettori NFC. È installata nei notebook delle serie Latitude e Precision acquistati prevalentemente da utenti business. Sulla scheda è saldato il chip Broadcom BCM5820X.
Le vulnerabilità possono essere sfruttate per due tipi di attacco. Dopo aver compromesso il sistema, un cybercriminale può interagire con il firmware usando le API associate ed eseguire codice arbitrario. Ciò permette di rubare dati sensibili e mantenere la persistenza anche se l’utente reinstalla Windows.
Il secondo attacco è fisico. Un malintenzionato può aprire il notebook e accedere direttamente alla scheda USH. I dati conservati nel chip possono essere quindi rubati senza login e senza conoscere la password usata per cifrare il disco.
Oltre che installare le patch rilasciate da Dell, gli esperti di Cisco Talos consigliano di disattivare ControlVault se non vengono usate periferiche di sicurezza.
