Falha em portáteis Dell permite instalar malware sem passar pelo Windows

Uma vulnerabilidade designada ReVault está a expor dezenas de modelos de portáteis Dell a ataques capazes de contornar o início de sessão do Windows, instalar software malicioso e aceder a dados sensíveis. A falha foi identificada pela equipa de cibersegurança Cisco Talos e já tem correção distribuída pela fabricante.

Como funciona a exploração ReVault

O problema reside no ControlVault, subsistema de hardware concebido para proteger credenciais e dados biométricos. O componente baseia-se nos circuitos ControlVault3 e ControlVault3+, geridos pelo Unified Security Hub (USH). Ao todo, foram registadas cinco vulnerabilidades:

CVE-2025-25215 — libertação arbitrária de acesso;
CVE-2025-24922 — stack buffer overflow;
CVE-2025-24919 — desserialização insegura;
CVE-2025-24311 e CVE-2025-25050 — acesso fora dos limites de memória.

Explorando estas falhas, um atacante pode executar código remoto a partir da API do ControlVault, obter privilégios superiores aos de administrador e alterar o firmware do dispositivo. O método permite criar um backdoor persistente que subsiste mesmo após reinstalações do sistema operativo, permanecendo invisível a soluções de antivírus convencionais.

Além do vetor remoto, existe um segundo cenário que requer acesso físico ao notebook. Abrindo a tampa inferior e ligando um conector próprio ao USH, é possível ultrapassar o login do Windows e enganar mecanismos biométricos, facultando total controlo da máquina ao intruso.

Modelos afectados e distribuição do patch

De acordo com a Dell, cerca de 100 modelos das gamas empresariais Latitude e Precision estão vulneráveis. A empresa publicou a lista completa no portal de suporte e disponibilizou atualizações de firmware para todos os equipamentos identificados. Os patches começaram a ser distribuídos via Windows Update em meados de 2025, mas podem não ter chegado a sistemas geridos por políticas corporativas mais restritivas.

A Cisco Talos confirmou a falha em junho e notificou a Dell, que concluiu a correção antes do anúncio público. Apesar disso, portáteis sem a versão mais recente do driver continuam expostos. A situação é particularmente crítica em ambientes empresariais, onde o ControlVault é habitualmente utilizado com leitores de impressão digital, cartões inteligentes ou NFC.

Impacto para utilizadores e empresas

Um ataque baseado no ReVault compromete confidencialidade, integridade e disponibilidade do sistema. Entre as consequências possíveis contam-se:

– Extração de credenciais armazenadas no Windows;
– Instalação de malware persistente sem intervenção do utilizador;
– Desativação de políticas de segurança ou monitorização;
– Roubo de propriedade intelectual em dispositivos corporativos.

A ameaça é agravada pelo facto de o ControlVault ter sido concebido precisamente para reforçar a segurança. Quando esse mesmo elemento se transforma em vetor de intrusão, os restantes mecanismos de defesa perdem eficácia.

Medidas recomendadas

A Dell aconselha a instalar de imediato as versões mais recentes do firmware e dos controladores ControlVault3/3+. Em redes empresariais, os administradores devem verificar se as políticas de atualização permitem a distribuição automática dos patches. Enquanto a correção não estiver aplicada, a fabricante sugere desativar leitores biométricos, cartões inteligentes e outros periféricos ligados ao subsistema.

Para equipamentos extraviados ou roubados, a exploração física continua possível se o agressor tiver conhecimentos técnicos e acesso prolongado ao hardware. Assim, as boas práticas de proteção física — cifragem de disco, arranque protegido por palavra-passe e inventário regular — permanecem essenciais.

Perspetiva de futuro

A Cisco Talos alerta que falhas em componentes de segurança dedicados podem repetir-se em produtos de outros fornecedores. Ao integrarem lógica complexa em hardware, estas soluções tendem a escapar às auditorias de software tradicionais. Os investigadores defendem testes de penetração periódicos que envolvam tanto a camada de firmware como o sistema operativo.

Para já, a mitigação passa por manter os sistemas atualizados e rever políticas de gestão de dispositivos. Qualquer atraso na aplicação de correções prolonga a janela de oportunidade para atacantes capazes de tirar partido do ReVault.

Imagem: tecmundo.com.br