Ponad 100 modeli laptopów Dell podatnych na zdalne i fizyczne przejęcie kontroli

Zespół Cisco Talos ujawnił pięć poważnych podatności w firmware Dell ControlVault3 oraz w jego interfejsach API dla systemu Windows. Luki, zbiorczo nazwane ReVault, dotyczą ponad 100 modeli laptopów Dell – w tym serii Latitude, Precision i Rugged – powszechnie wykorzystywanych w administracji, sektorze finansowym i infrastrukturze krytycznej.

Dell ControlVault3 to sprzętowy moduł bezpieczeństwa (Unified Security Hub), przechowujący dane logowania, odciski palców i inne dane uwierzytelniające poza systemem operacyjnym. Ataki możliwe dzięki ReVault pozwalają na zdalnie i fizycznie przejęcie kontroli nad urządzeniem.

Dwa główne scenariusze ataku:

• Zdalne przejęcie przez API – Nawet użytkownik bez uprawnień administratora może – wykorzystując podatne API – uruchomić złośliwy kod wewnątrz firmware’u. To otwiera drogę do kradzieży kluczy kryptograficznych i trwałej infekcji (np. poprzez implanty ukryte w firmware, odporne na reinstalację systemu).
• Fizyczny dostęp przez USB – Osoba z dostępem do sprzętu może – bez znajomości hasła czy PIN-u – połączyć się z płytką USH przez USB i obejść uwierzytelnianie. W przypadku logowania odciskiem palca, złośliwy firmware może zaakceptować dowolny odcisk.

Rekomendacje Cisco Talos i Dell:

• Zainstaluj aktualizacje firmware’u – dostępne już na stronie Dell i w Windows Update.
• Wyłącz nieużywane komponenty biometryczne w ustawieniach systemowych.
• Ogranicz logowanie biometryczne w środowiskach podwyższonego ryzyka.
• Włącz detekcję otwarcia obudowy w BIOS-ie.
• Monitoruj logi systemowe i alerty z oprogramowania ochronnego (np. „bcmbipdll.dll Loaded by Abnormal Process”).