Vulnerabilidades ReVault exponen la seguridad de portátiles Dell: Riesgos y soluciones

Cristian Do Carmo Rodríguez -

El equipo de Talos de Cisco ha descubierto una serie de vulnerabilidades críticas, denominadas ReVault, que afectan a los portátiles Dell equipados con la tecnología ControlVault. Estas vulnerabilidades, que residen tanto en el firmware ControlVault3 como en sus APIs de Windows, podrían permitir a atacantes comprometer la seguridad de los dispositivos de maneras muy diversas.

¿Qué es Dell ControlVault?

Dell ControlVault es una solución de seguridad basada en hardware que almacena contraseñas, datos biométricos y códigos de seguridad dentro del firmware. Funciona como un hub que conecta periféricos de seguridad como lectores de huellas dactilares, tarjetas inteligentes y NFC.

Modelos afectados y su importancia

Más de 100 modelos de portátiles Dell, principalmente de las series Latitude y Precision, están equipados con ControlVault3 y ControlVault3+. Estos portátiles son ampliamente utilizados en el sector de la ciberseguridad, en entornos gubernamentales y en condiciones exigentes. Suelen encontrarse en industrias sensibles que requieren una seguridad reforzada al iniciar sesión.

Las vulnerabilidades ReVault al detalle

Talos ha publicado cinco CVEs (Common Vulnerabilities and Exposures) relacionados con estas vulnerabilidades:

  • CVE-2025-24311: Vulnerabilidad de escritura fuera de límites.
  • CVE-2025-25050: Otra vulnerabilidad de lectura fuera de límites.
  • CVE-2025-25215: Liberación arbitraria de memoria.
  • CVE-2025-24922: Desbordamiento de pila.
  • CVE-2025-24919: Deserialización insegura en las APIs de Windows de ControlVault.

Impacto de las vulnerabilidades

La combinación de estas vulnerabilidades, junto con la falta de mitigaciones de seguridad comunes, genera un impacto significativo. Destacan dos escenarios de ataque críticos:

Ataque Post-Compromiso

Un atacante, incluso sin privilegios de administrador en Windows, puede interactuar con el firmware de ControlVault a través de sus APIs y ejecutar código arbitrario en el firmware.

Esto permite extraer material clave esencial para la seguridad del dispositivo y modificar el firmware de forma permanente. Así, se podría crear un implante persistente que permanezca oculto incluso después de reinstalar Windows, usándose como punto de apoyo para futuros ataques.

Ataque Físico

Un atacante con acceso físico al portátil puede acceder directamente a la placa USH (Unified Security Hub) a través de USB. Esto permite explotar todas las vulnerabilidades descritas sin necesidad de iniciar sesión en el sistema o conocer la contraseña de cifrado del disco duro. Aunque la detección de intrusión en el chasis puede ayudar, esta característica debe estar habilitada de antemano.

Además, si el sistema está configurado para desbloquearse con la huella dactilar del usuario, es posible manipular el firmware de ControlVault para aceptar cualquier huella dactilar.

Cómo mitigar los riesgos de ReVault

Para proteger tus dispositivos, Talos recomienda:

  • Mantener el sistema actualizado con el último firmware disponible. El firmware de ControlVault se distribuye automáticamente a través de Windows Update, aunque las nuevas versiones suelen estar disponibles antes en la web de Dell.
  • Si no utilizas los periféricos de seguridad (lector de huellas, tarjeta inteligente o NFC), desactiva los servicios de ControlVault en el Administrador de Servicios o el Administrador de Dispositivos.
  • Considera desactivar el inicio de sesión con huella dactilar en situaciones de alto riesgo.
  • Activar la Seguridad de Inicio de Sesión Mejorada (ESS) de Windows, que ayuda a mitigar algunos ataques físicos y a detectar firmware de ControlVault manipulado.

Detección de ataques

Para detectar posibles ataques, ten en cuenta lo siguiente:

  • Habilita la detección de intrusión en el chasis en la BIOS del ordenador.
  • Monitoriza los registros de Windows en busca de errores inesperados en el Servicio Biométrico de Windows o en los servicios de Credential Vault.

Conclusión

Este hallazgo subraya la importancia de evaluar la seguridad de todos los componentes de hardware de tus dispositivos, no solo el sistema operativo o el software.

Las vulnerabilidades en firmware ampliamente utilizado como Dell ControlVault pueden tener consecuencias significativas, comprometiendo incluso las funciones de seguridad más avanzadas. Mantente alerta, actualiza tus sistemas y evalúa los riesgos de forma proactiva para proteger tus sistemas contra las amenazas en evolución.