Il panorama della sicurezza informatica aziendale si trova di fronte a una nuova minaccia che colpisce direttamente il cuore dei sistemi di protezione più avanzati. Oltre 100 modelli di laptop Dell, principalmente delle serie Latitude e Precision utilizzate da aziende, enti governativi e professionisti della cybersecurity, sono esposti a vulnerabilità critiche che potrebbero compromettere irrimediabilmente la sicurezza dei dati sensibili. Queste falle, scoperte dai ricercatori di Cisco Talos e battezzate "ReVault", rappresentano una sfida senza precedenti perché agiscono a un livello così profondo del sistema da resistere persino alla formattazione completa e reinstallazione di Windows.
La fortezza digitale che si trasforma in porta d'accesso
Il sistema ControlVault3 di Dell dovrebbe funzionare come una cassaforte digitale impenetrabile, progettata per custodire password, dati biometrici e chiavi di crittografia lontano dal sistema operativo principale. Questo componente hardware risiede su una scheda separata chiamata Unified Security Hub (USH) e si interfaccia con lettori di smart card, sensori NFC e scanner per impronte digitali. Tuttavia, le vulnerabilità scoperte nel chip di sicurezza Broadcom BCM5820X trasformano questo baluardo in un punto di accesso privilegiato per gli attaccanti.
La pericolosità di queste falle risiede nella loro capacità di sopravvivere alla reinstallazione completa del sistema operativo. Poiché si annidano nel firmware, al di sotto del livello del sistema operativo, possono garantire agli attaccanti un accesso persistente che sfugge ai tradizionali software antivirus. I ricercatori hanno dimostrato come anche utenti senza privilegi amministrativi possano attivare queste vulnerabilità attraverso le API di Windows.
Cinque falle per una compromissione totale
Le vulnerabilità identificate comprendono cinque falle critiche, ciascuna con un punteggio superiore a 8.0 sulla scala CVSS. La CVE-2025-24311 consente la lettura di memoria oltre i limiti previsti, portando alla fuga di informazioni sensibili. La CVE-2025-25050 permette la scrittura fuori dai confini della memoria, aprendo la strada all'esecuzione di codice malicious.
Particolarmente insidiosa risulta la CVE-2025-25215, che consente la liberazione arbitraria di memoria causando corruzione del sistema. Le vulnerabilità CVE-2025-24922 e CVE-2025-24919 completano il quadro con overflow del buffer e deserializzazione non sicura nelle API Windows. Combinate insieme, queste falle possono portare alla compromissione totale del sistema, permettendo agli attaccanti di rubare chiavi crittografiche e modificare il firmware stesso.
Attacchi fisici e biometria compromessa
Anche senza accesso remoto, un attaccante con pochi minuti di accesso fisico al dispositivo può aprire il laptop e connettersi direttamente alla scheda USH tramite USB, aggirando il login di sistema e persino la crittografia completa del disco. In uno scenario quasi surreale, i ricercatori sono riusciti a dimostrare come un chip ControlVault compromesso possa essere ingannato per accettare qualsiasi impronta digitale come valida, inclusi oggetti inanimati come verdure.
Dell ha confermato l'esistenza delle vulnerabilità e ha iniziato a distribuire aggiornamenti di sicurezza dal marzo 2025, molti dei quali vengono forniti attraverso Windows Update. Tuttavia, per gli amministratori IT responsabili di flotte di dispositivi Dell, è fondamentale verificare che questi aggiornamenti vengano effettivamente installati.
Strategie di mitigazione immediate
I ricercatori di Cisco Talos raccomandano diverse misure preventive per ridurre l'esposizione al rischio. In primo luogo, è essenziale disabilitare i servizi ControlVault quando non si utilizzano lettori di impronte digitali, smart card o NFC. Inoltre, è consigliabile disattivare il login biometrico quando si lascia il laptop incustodito e attivare Enhanced Sign-In Security (ESS) in Windows per una protezione aggiuntiva contro manomissioni fisiche.
L'abilitazione del rilevamento di intrusione chassis nel BIOS, quando disponibile, può fornire un ulteriore livello di sicurezza. Gli strumenti di endpoint detection possono aiutare a identificare tentativi sospetti di accesso al firmware, mentre crash inspiegabili nei servizi Windows Biometric o Credential Vault potrebbero segnalare una compromissione in corso.
Il nuovo paradigma della sicurezza firmware
Questa scoperta sottolinea l'importanza crescente di valutare la sicurezza di tutti i componenti hardware dei dispositivi, non solo del sistema operativo o del software applicativo. Come evidenziato dai ricercatori di Cisco Talos, i componenti firmware come ControlVault sono sistemi informatici completi con memoria, processori e software propri, il che significa che gli attaccanti possono sfruttarli per aggirare completamente le protezioni tradizionali a livello di sistema operativo.
Per le organizzazioni che utilizzano laptop Dell nelle serie interessate, questa non è una minaccia da sottovalutare. Le vulnerabilità firmware come ReVault sono particolarmente pericolose perché subdole e facilmente trascurate, ma possono fornire agli attaccanti un accesso persistente e privilegiato ai sistemi più critici dell'infrastruttura aziendale.