Ataque ReVault
Investigadores de ciberseguridad han revelado un conjunto grave de vulnerabilidades de seguridad en el firmware ControlVault3 de Dell y las API de Windows relacionadas. Si se explotan, estas fallas podrían permitir a los atacantes eludir el inicio de sesión de Windows, robar claves criptográficas y mantener el acceso a largo plazo incluso después de reinstalar el sistema operativo, implantando código malicioso y oculto directamente en el firmware.
Tabla de contenido
¿Quién está en riesgo?
Más de 100 modelos de portátiles Dell con chips de la serie Broadcom BCM5820X se han visto afectados. Si bien hasta el momento no se ha detectado ninguna explotación activa, el impacto es especialmente preocupante para las industrias que dependen de la autenticación robusta mediante lectores de tarjetas inteligentes o dispositivos de comunicación de campo cercano (NFC).
ControlVault está diseñado para almacenar de forma segura contraseñas, plantillas biométricas y códigos de seguridad en el firmware. Desafortunadamente, la combinación de estas vulnerabilidades permite a los atacantes escalar privilegios, eludir la autenticación y permanecer ocultos incluso después de borrar o actualizar el sistema.
Las cinco vulnerabilidades de ReVault
Los investigadores han asignado el nombre clave ReVault a este grupo de vulnerabilidades. En conjunto, forman un potente método de persistencia tras la vulneración, capaz de acceder de forma encubierta a objetivos de alto valor.
- CVE-2025-25050 (CVSS 8.8): Escritura fuera de límites en cv_upgrade_sensor_firmware
- CVE-2025-25215 (CVSS 8.8): Liberación arbitraria en cv_close
- CVE-2025-24922 (CVSS 8.8): Desbordamiento de búfer basado en pila en securebio_identify
- CVE-2025-24311 (CVSS 8.4): Lectura fuera de límites en cv_send_blockdata
- CVE-2025-24919 (CVSS 8.1): Deserialización de entradas no confiables en cvhDecapsulateCmd
Cada uno de ellos puede tener consecuencias graves, desde la ejecución de código arbitrario hasta filtraciones de información.
Acceso físico: un atajo directo para los atacantes
Incluso sin explotación remota, un atacante local con acceso físico podría abrir la computadora portátil y atacar directamente la placa del Hub de Seguridad Unificado (USH). Esto permitiría explotar cualquiera de las vulnerabilidades sin necesidad de iniciar sesión ni conocer la contraseña de cifrado de disco completo.
Esto hace que ReVault sea peligroso no sólo como técnica de persistencia remota, sino también como método de compromiso físico para eludir el inicio de sesión de Windows u otorgar privilegios administrativos a cualquier usuario local.
Reduciendo el riesgo
Los expertos en seguridad recomiendan a los usuarios aplicar los parches oficiales de Dell sin demora, desactivar los servicios de ControlVault cuando no se utilicen lectores biométricos, de tarjetas inteligentes o NFC y, en entornos de alto riesgo, desactivar por completo el inicio de sesión con huella dactilar para reducir la posible exposición. Estas medidas ayudan a cerrar brechas de seguridad conocidas que los atacantes podrían explotar para obtener acceso no autorizado o mantener la persistencia en dispositivos comprometidos. Al limitar el uso de hardware de autenticación potencialmente vulnerable, las organizaciones pueden reducir significativamente su superficie de ataque. Las auditorías de seguridad periódicas y la monitorización rigurosa también deben formar parte de la estrategia de defensa general para garantizar una protección continua contra amenazas emergentes.
