Ago 06, 2025 Redazione Attacchi, In evidenza, News, RSS, Vulnerabilità 0

Un gruppo di vulnerabilità nel firmware ControlVault3 espone oltre cento modelli di laptop Dell a scenari di attacco critici. A segnalarlo sono i ricercatori di Cisco Talos che hanno battezzato la serie di falle con il nome ReVault. Le vulnerabilità consentono a un attaccante di ottenere accesso al sistema senza conoscere le credenziali dell’utente e di installare codice persistente nel firmware, sopravvivendo anche a reinstallazioni di Windows.

I dispositivi coinvolti appartengono principalmente alle famiglie Latitude e Precision, impiegate frequentemente in ambiti aziendali, governativi e industriali. I moduli ControlVault sono progettati per gestire in modo sicuro credenziali, dati biometrici e codici di autenticazione all’interno di un componente hardware isolato: il Unified Security Hub (USH).

Talos ha identificato cinque vulnerabilità: due di tipo out-of-bounds (CVE-2025-24311 e CVE-2025-25050), un arbitrary free (CVE-2025-25215), un stack overflow (CVE-2025-24922) e una unsafe deserialization (CVE-2025-24919). I ricercatori sottolineano che queste falle interessano sia il firmware del modulo ControlVault3 sia le API utilizzate da Windows per comunicare con esso.

In uno scenario d’attacco tipico, un aggressore con accesso fisico al laptop può aprire il dispositivo e collegarsi al modulo USH tramite una connessione USB custom. A quel punto, è possibile sfruttare le vulnerabilità per eseguire codice arbitrario direttamente sul firmware, eludendo le protezioni del sistema operativo e dei meccanismi di autenticazione. Secondo Cisco Talos, un impianto malevolo installato in questo modo può persistere anche dopo la formattazione e reinstallazione del sistema operativo.

Uno degli impatti più significativi riguarda la possibilità di compromettere il sistema di autenticazione biometrica. Un attacco riuscito può indurre il dispositivo ad accettare qualunque impronta digitale, bypassando il controllo su quelle autorizzate.

Dell ha pubblicato aggiornamenti tra marzo e maggio 2025 per correggere le vulnerabilità nei driver e nel firmware di ControlVault3. La lista completa dei modelli interessati è disponibile nella documentazione ufficiale dell’azienda. I ricercatori raccomandano di applicare quanto prima gli aggiornamenti e, nei contesti più sensibili, di disattivare periferiche di autenticazione non necessarie come lettori di impronte, smart card o NFC. È inoltre consigliabile abilitare nel BIOS la rilevazione di intrusioni fisiche e attivare la funzione Enhanced Sign-in Security di Windows, che consente di rilevare anomalie nei moduli di autenticazione.