Falha em portáteis Dell permite instalar malware sem passar pelo Windows
Uma vulnerabilidade designada ReVault está a expor dezenas de modelos de portáteis Dell a ataques capazes de contornar o início de sessão do Windows, instalar software malicioso e aceder a dados sensíveis. A falha foi identificada pela equipa de cibersegurança Cisco Talos e já tem correção distribuída pela fabricante.
Como funciona a exploração ReVault
O problema reside no ControlVault, subsistema de hardware concebido para proteger credenciais e dados biométricos. O componente baseia-se nos circuitos ControlVault3 e ControlVault3+, geridos pelo Unified Security Hub (USH). Ao todo, foram registadas cinco vulnerabilidades:
CVE-2025-25215 — libertação arbitrária de acesso;
CVE-2025-24922 — stack buffer overflow;
CVE-2025-24919 — desserialização insegura;
CVE-2025-24311 e CVE-2025-25050 — acesso fora dos limites de memória.
Explorando estas falhas, um atacante pode executar código remoto a partir da API do ControlVault, obter privilégios superiores aos de administrador e alterar o firmware do dispositivo. O método permite criar um backdoor persistente que subsiste mesmo após reinstalações do sistema operativo, permanecendo invisível a soluções de antivírus convencionais.
Além do vetor remoto, existe um segundo cenário que requer acesso físico ao notebook. Abrindo a tampa inferior e ligando um conector próprio ao USH, é possível ultrapassar o login do Windows e enganar mecanismos biométricos, facultando total controlo da máquina ao intruso.
Modelos afectados e distribuição do patch
De acordo com a Dell, cerca de 100 modelos das gamas empresariais Latitude e Precision estão vulneráveis. A empresa publicou a lista completa no portal de suporte e disponibilizou atualizações de firmware para todos os equipamentos identificados. Os patches começaram a ser distribuídos via Windows Update em meados de 2025, mas podem não ter chegado a sistemas geridos por políticas corporativas mais restritivas.
A Cisco Talos confirmou a falha em junho e notificou a Dell, que concluiu a correção antes do anúncio público. Apesar disso, portáteis sem a versão mais recente do driver continuam expostos. A situação é particularmente crítica em ambientes empresariais, onde o ControlVault é habitualmente utilizado com leitores de impressão digital, cartões inteligentes ou NFC.
Impacto para utilizadores e empresas
Um ataque baseado no ReVault compromete confidencialidade, integridade e disponibilidade do sistema. Entre as consequências possíveis contam-se:
– Extração de credenciais armazenadas no Windows;
– Instalação de malware persistente sem intervenção do utilizador;
– Desativação de políticas de segurança ou monitorização;
– Roubo de propriedade intelectual em dispositivos corporativos.
A ameaça é agravada pelo facto de o ControlVault ter sido concebido precisamente para reforçar a segurança. Quando esse mesmo elemento se transforma em vetor de intrusão, os restantes mecanismos de defesa perdem eficácia.
Medidas recomendadas
A Dell aconselha a instalar de imediato as versões mais recentes do firmware e dos controladores ControlVault3/3+. Em redes empresariais, os administradores devem verificar se as políticas de atualização permitem a distribuição automática dos patches. Enquanto a correção não estiver aplicada, a fabricante sugere desativar leitores biométricos, cartões inteligentes e outros periféricos ligados ao subsistema.
Para equipamentos extraviados ou roubados, a exploração física continua possível se o agressor tiver conhecimentos técnicos e acesso prolongado ao hardware. Assim, as boas práticas de proteção física — cifragem de disco, arranque protegido por palavra-passe e inventário regular — permanecem essenciais.
Perspetiva de futuro
A Cisco Talos alerta que falhas em componentes de segurança dedicados podem repetir-se em produtos de outros fornecedores. Ao integrarem lógica complexa em hardware, estas soluções tendem a escapar às auditorias de software tradicionais. Os investigadores defendem testes de penetração periódicos que envolvam tanto a camada de firmware como o sistema operativo.
Para já, a mitigação passa por manter os sistemas atualizados e rever políticas de gestão de dispositivos. Qualquer atraso na aplicação de correções prolonga a janela de oportunidade para atacantes capazes de tirar partido do ReVault.
Imagem: tecmundo.com.br
