Las vulnerabilidades del firmware ControlVault3, que afectan a más de 100 modelos de portátiles Dell, pueden permitir a los atacantes eludir el inicio de sesión de Windows e instalar malware que persiste tras las reinstalaciones del sistema.
Dell ControlVault es una solución de seguridad basada en hardware que almacena contraseñas, datos biométricos y códigos de seguridad dentro del firmware en una placa base dedicada, conocida como Unified Security Hub (USH).
Las cinco vulnerabilidades, reportadas por la división de seguridad Talos de Cisco y denominadas "ReVault", afectan tanto al firmware ControlVault3 como a sus interfaces de programación de aplicaciones (API) de Windows en las series de portátiles Dell Latitude y Precision, enfocadas en empresas.
Estos dispositivos son populares en entornos de ciberseguridad, gubernamentales e industriales, donde las tarjetas inteligentes, las huellas dactilares y la tecnología NFC también se utilizan comúnmente para la autenticación.
La lista completa de vulnerabilidades de ReVault incluye fallas fuera de límites (CVE-2025-24311, CVE-2025-25050), una vulnerabilidad de liberación arbitraria (CVE-2025-25215), un desbordamiento de pila (CVE-2025-24922) y un problema de deserialización insegura (CVE-2025-24919) que afecta a las API de Windows de ControlVault.
Dell lanzó actualizaciones de seguridad para solucionar las fallas de ReVault en el controlador y el firmware de ControlVault3 entre marzo y mayo. La lista completa de modelos afectados está disponible en el aviso de seguridad de Dell.
Omisión de inicio de sesión de Windows y escalamiento de privilegios
La combinación de estas vulnerabilidades puede permitir a los atacantes ejecutar código arbitrario en el firmware, lo que podría crear implantes persistentes que sobreviven a las reinstalaciones de Windows. También pueden aprovechar el acceso físico para omitir el inicio de sesión de Windows o escalar privilegios de usuario local al nivel de administrador.
"A Un atacante local con acceso físico al portátil de un usuario puede abrirlo y acceder directamente a la placa USH a través de USB con un conector personalizado", afirmó Cisco Talos. "A partir de ahí, todas las vulnerabilidades descritas anteriormente quedan al alcance del atacante sin necesidad de iniciar sesión en el sistema ni conocer la contraseña de cifrado de disco completo".
Una explotación exitosa también puede permitir a los atacantes manipular la autenticación de huellas dactilares, obligando al dispositivo objetivo a aceptar cualquier huella dactilar en lugar de solo las de usuarios legítimos.
Talos recomienda mantener los sistemas actualizados a través de Windows Update o el sitio web de Dell, deshabilitar los periféricos de seguridad no utilizados, como los lectores de huellas dactilares, los lectores de tarjetas inteligentes y los lectores NFC, y deshabilitar el inicio de sesión con huellas dactilares en situaciones de alto riesgo.
Para mitigar algunos de los ataques físicos, los investigadores también sugirieron habilitar la detección de intrusiones en el chasis en la configuración del BIOS del equipo para detectar intentos de manipulación física y la Enhanced Sign-in Security (ESS) en Windows para detectar firmware CV inapropiado.
Fuente: BC