ReVault-Angriff
Cybersicherheitsforscher haben schwerwiegende Sicherheitslücken in Dells ControlVault3-Firmware und den zugehörigen Windows-APIs aufgedeckt. Werden diese Schwachstellen ausgenutzt, könnten Angreifer die Windows-Anmeldung umgehen, kryptografische Schlüssel stehlen und selbst nach einer Neuinstallation des Betriebssystems langfristig Zugriff behalten, indem sie bösartigen, versteckten Code direkt in die Firmware einschleusen.
Inhaltsverzeichnis
Wer ist gefährdet?
Betroffen sind über 100 Dell-Laptop-Modelle mit Chips der Broadcom BCM5820X-Serie. Obwohl bisher keine aktive Ausnutzung festgestellt wurde, sind die Auswirkungen besonders besorgniserregend für Branchen, die auf eine starke Authentifizierung durch Smartcard-Lesegeräte oder NFC-Geräte (Near Field Communication) angewiesen sind.
ControlVault wurde entwickelt, um Passwörter, biometrische Vorlagen und Sicherheitscodes sicher in der Firmware zu speichern. Durch die Verkettung dieser Schwachstellen können Angreifer jedoch ihre Berechtigungen erweitern, die Authentifizierung umgehen und selbst nach Systemlöschungen oder -aktualisierungen unentdeckt bleiben.
Die fünf ReVault-Schwachstellen
Forscher haben dieser Gruppe von Schwachstellen den Codenamen ReVault gegeben. Zusammen bilden sie eine leistungsstarke Methode zur Persistenz nach einem Angriff, die einen verdeckten Zugriff auf wertvolle Ziele ermöglicht.
- CVE-2025-25050 (CVSS 8.8) – Schreiben außerhalb der Grenzen in cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8) – Beliebige Freigabe in cv_close
- CVE-2025-24922 (CVSS 8.8) – Stapelbasierter Pufferüberlauf in securebio_identify
- CVE-2025-24311 (CVSS 8.4) – Lesen außerhalb der Grenzen in cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1) – Deserialisierung nicht vertrauenswürdiger Eingaben in cvhDecapsulateCmd
Jeder dieser Vorfälle kann schwerwiegende Folgen haben, die von der Ausführung willkürlichen Codes bis hin zu Informationslecks reichen.
Physischer Zugriff: Eine direkte Abkürzung für Angreifer
Selbst ohne Remote-Ausnutzung könnte ein lokaler Angreifer mit physischem Zugriff den Laptop öffnen und direkt auf die Unified Security Hub (USH)-Platine zielen. Dies würde die Ausnutzung aller Schwachstellen ermöglichen, ohne sich anzumelden oder das Kennwort für die Festplattenverschlüsselung zu kennen.
Dies macht ReVault nicht nur als Remote-Persistenztechnik gefährlich, sondern auch als physische Kompromittierungsmethode zum Umgehen der Windows-Anmeldung oder zum Erteilen lokaler Administratorrechte für Benutzer.
Risikominderung
Sicherheitsexperten raten Anwendern, die offiziellen Patches von Dell unverzüglich zu installieren, ControlVault-Dienste zu deaktivieren, wenn biometrische Lesegeräte, Smartcard-Lesegeräte oder NFC-Lesegeräte nicht genutzt werden, und in Hochrisikoumgebungen die Fingerabdruck-Anmeldung vollständig zu deaktivieren, um das potenzielle Risiko zu verringern. Diese Maßnahmen helfen, bekannte Sicherheitslücken zu schließen, die Angreifer ausnutzen könnten, um sich unbefugten Zugriff zu verschaffen oder sich auf kompromittierten Geräten zu sichern. Durch die Einschränkung der Nutzung potenziell anfälliger Authentifizierungshardware können Unternehmen ihre Angriffsfläche deutlich reduzieren. Regelmäßige Sicherheitsüberprüfungen und eine aufmerksame Überwachung sollten ebenfalls Teil der umfassenden Verteidigungsstrategie sein, um einen kontinuierlichen Schutz vor neuen Bedrohungen zu gewährleisten.
