Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe wszczepianie implantów i w konsekwencji omijanie logowania do systemu Windows poprzez dostęp fizyczny, o czym informuje Cisco Talos.
Problemy, które zostały sklasyfikowane jako CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 i CVE-2025-24919, po raz pierwszy ujawniono 13 czerwca, kiedy firma Dell ogłosiła, że wdrożono poprawki dla ponad stu modeli Dell Pro, Latitude i Precision.
Dotknięty problemem komponent, ControlVault3 (i iteracja ControlVault3+), to system sprzętowy przeznaczony do bezpiecznego przechowywania haseł, informacji biometrycznych i kodów bezpieczeństwa.
CVE-2025-24311 i CVE-2025-25050 to luki, które mogą zostać wykorzystane poprzez specjalnie spreparowane wywołania API ControlVault w celu wycieku informacji lub zapisu poza przydzieloną pamięcią. Natomiast CVE-2025-25215 prowadzi do dowolnego zwolnienia poprzez spreparowane wywołanie i może zostać uruchomiony poprzez sfałszowaną sesję.
CVE-2025-24922 i CVE-2025-24919, błąd przepełnienia bufora stosu i luka w zabezpieczeniach deserializacji niezaufanych danych wejściowych, mogą prowadzić do wykonania dowolnego kodu.
Według Talos atakujący nieposiadający uprawnień administracyjnych jest w stanie wejść w interakcję z ControlVault za pośrednictwem powiązanego API i wykonać dowolny kod w oprogramowaniu układowym, ujawniając poufne informacje. Może to wpłynąć na bezpieczeństwo urządzenia i umożliwić modyfikację oprogramowania układowego.
„Stwarza to ryzyko, że tzw. implant może pozostać niezauważony w oprogramowaniu CV laptopa i ostatecznie zostać wykorzystany jako punkt zwrotny w systemie w przypadku strategii ataku po włamaniu” – tłumaczą specjaliści Talos.
Eksperci zauważają również, że atakujący z fizycznym dojściem do urządzenia mógłby po uzyskaniu dostępu do płyty USH wykorzystać dowolną z pięciu luk bez konieczności logowania się lub znajomości hasła szyfrującego całego dysku.
„Kolejną interesującą konsekwencją tego scenariusza jest to, że jeśli system został skonfigurowany do odblokowywania odciskiem palca użytkownika, możliwe jest również zmodyfikowanie oprogramowania CV w celu zaakceptowania dowolnego odcisku palca” – mówią fachowcy Cisco.
Według nich luki te mogą stanowić poważne zagrożenie dla organizacji z branży cyberbezpieczeństwa, administracji publicznej i innych wrażliwych branż, w których rygorystyczne wymagania dotyczące logowania zwiększają prawdopodobieństwo użycia ControlVault.
Czerwcowy komunikat firmy Dell zawiera listę wszystkich zagrożonych modeli i wersji oprogramowania sprzętowego, a także daty wydania dla nich poprawek.