Uma grande quantidade de notebooks da popular fabricante Dell estão potencialmente expostos a uma vulnerabilidade. Descoberta pelo laboratório de cibersegurança Cisco Talos, a ameaça foi batizada de ReVault e envolve um conjunto de brechas no aparelho.
O ataque envolve a exploração do ControlVault, um recurso de proteção de aparelhos da Dell que é baseado em hardware e age a partir de um circuito chamado Unified Security Hub (USH). O objetivo desse componente é guardar informações sensíveis, como senhas e dados biométricos.
As invasões podem ser tanto remotas quanto físicas — neste caso, com o invasor tendo posse do aparelho e ganhando ainda mais privilégios sem autorização.
O que é e como funciona o ReVault
- Ao todo, a ReVault envolve cinco vulnerabilidades de segurança: uma falha de liberação arbitrária de acesso (CVE-2025-25215), uma de estouro de buffer de pilha (CVE-2025-24922), uma de desserialização insegura (CVE-2025-24919) e duas envolvendo exploração de memória fora dos padrões de autorização (CVE-2025-24311 e CVE-2025-25050);
- Os componentes afetados são o ControlVault3 e o ControlVault3+, da Broadcomm, além das respectivas APIs que permitem o compartilhamento de dados deles com diferentes plataformas;
- Em uma das formas de ataque, que é feita remotamente, o invasor é capaz de executar códigos remotamente na máquina mesmo burlando os privilégios de administrador. Isso é feito ao explorar a API do ControlVault e resulta em consequências como vazamento de informações privadas do Windows e a capacidade de modificar o firmware livremente;
- Isso faz com que o aparelho fique exposto a um backdoor, ameaça que permite acesso e instalação de outros malwares “pela porta dos fundos” do sistema, passando despercebido por mecanismos de segurança tradicionais;
- A outra modalidade de exploração da brecha envolve o acesso físico ao aparelho, como noteboooks roubados ou perdidos, por exemplo. Neste caso, o cibercriminoso pode abrir o aparelho e acessar a UHS diretamente usando um conector personalizado;
- A invasão física é considerada mais grave: aqui, é possível forçar a invasão mesmo sem obter acesso ao login do Windows, ou então fazer com que o sistema libera outras biometrias que não sejam a do dono original do aparelho;
- A ameaça ReVault é do tipo persistente, ou seja, que permanece atuante mesmo que o usuário realize a reinstalação do sistema operacional e não faça também as atualizações de segurança;
O meu notebook é Dell, e agora?
De acordo com a fabricante, cerca de 100 modelos de notebook da Dell estão potencialmente expostos ao ReVault. A maior parte dos modelos envolve as linhas corporativas Latitude e Precision e a lista completa de aparelhos pode ser conferida neste link, incluindo o download direto dos drivers protegidos.
As vulnerabilidades foram confirmadas em junho deste ano, quando a própria companhia anunciou a disponibilização ao longo dos meses anteriores de atualizações de segurança para todos os modelos afetados.
Isso significa que, em teoria, os usuários estão protegidos contra essas ameaças caso estejam com as atualizações em dia. Os patches do ControlVault costumam ser enviados via Windows Update nativamente no sistema, mas redes corporativas podem ficar vulneráveis caso demorem para aprovar essas correções em toda uma corporação.
Em último caso, a recomendação para companhias é evitar o uso de periféricos de segurança para logar nesses aparelhos, como leitores biométricos, de cartão ou por aproximação (NFC), ou desabilitar os serviços do ControlVault até a segurança dos aparelhos esteja garantida.
Embora a correção tenha sido realizada, os pesquisadores da Cisco Talos alertam que conseguir acesso a sistemas por meio da invasão a um componente de hardware voltado justamente para cibersegurança pode significar um risco futuro para ataques em aparelhos similares.
Quer se manter informado sobre as principais novidades de proteção digital e mercado de cibersegurança? Confira a seção especial sobre o tema no site do TecMundo!
