Los investigadores de seguridad cibernética han descubierto múltiples fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían haber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como mantener el acceso incluso después de una nueva instalación del sistema operativo mediante la implementación de implantes maliciosos indetectables en la firma.
Las vulnerabilidades han sido nombradas en código Revault por Cisco Talos. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.
Es probable que las industrias que requieren una mayor seguridad al iniciar sesión, a través de lectores de tarjetas inteligentes o lectores de comunicación de campo cercano (NFC), usen dispositivos ControlVault en sus entornos. ControlVault es una solución de seguridad basada en hardware que ofrece una forma segura de almacenar contraseñas, plantillas biométricas y códigos de seguridad dentro del firmware.
Los atacantes pueden encadenar las vulnerabilidades, que se presentaron en la Conferencia de Seguridad de Black Hat USA, para intensificar sus privilegios después del acceso inicial, omitir los controles de autenticación y mantener la persistencia en los sistemas comprometidos que sobreviven a las actualizaciones o reinstalaciones del sistema operativo.
Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el acceso encubierto a entornos de alto valor. Las vulnerabilidades identificadas son las siguientes
- CVE-2025-25050 (Puntuación CVSS: 8.8)-Existe una vulnerabilidad de escritura fuera de los límites en la funcionalidad CV_UPGRADE_SENSOR_Firmware que podría conducir a una escritura fuera de los límites
- CVE-2025-25215 (Puntuación CVSS: 8.8) – Existe una vulnerabilidad libre arbitraria en la funcionalidad CV_CLOSE que podría conducir a una libre arbitraria
- CVE-2025-24922 (Puntuación CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución del código arbitrario
- CVE-2025-24311 (Puntuación CVSS: 8.4)-Existe una vulnerabilidad de lectura fuera de los límites en la funcionalidad CV_SEND_BLOCKDATA que podría conducir a una fuga de información
- CVE-2025-24919 (Puntuación CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCMD que podría conducir a la ejecución del código arbitrario
La compañía de seguridad cibernética también señaló que un atacante local con acceso físico a la computadora portátil de un usuario podría abrirla y acceder a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de cifrado de disco completo.
«El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault también se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier usuario local obtener privilegios de administración/sistema».
Para mitigar el riesgo planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apagar el inicio de sesión de la huella digital en situaciones de alto riesgo.