Cisco Talos ujawnił pięć poważnych podatności w oprogramowaniu układowym Dell ControlVault3 oraz w powiązanych z nim interfejsach API dla systemu Windows. Zbiorczo nazwane ReVault, luki te stanowią realne zagrożenie dla ponad 100 modeli laptopów Dell — często wykorzystywanych w środowiskach o podwyższonych wymaganiach bezpieczeństwa.

Czym jest Dell ControlVault?

Dell ControlVault3 (oraz nowsza wersja ControlVault3+) to rozwiązanie sprzętowe odpowiedzialne za przechowywanie wrażliwych danych logowania: haseł, odcisków palców, szablonów biometrycznych czy kodów zabezpieczających. Zamiast przechowywać je w systemie operacyjnym, dane te trafiają do wydzielonego układu na płytce zwanej Unified Security Hub (USH), połączonej z czytnikiem linii papilarnych, kartą inteligentną czy modułem NFC.

Rozwiązanie to stosowane jest w ponad 100 modelach laptopów Dell – głównie z serii Latitude, Precision oraz Rugged – często wykorzystywanych w takich sektorach jak administracja publiczna, sektor finansowy czy infrastruktura krytyczna.

Jak działa atak ReVault?

ReVault to nie tylko zbiór luk w oprogramowaniu. To także potencjalny sposób na przejęcie pełnej kontroli nad komputerem – niezależnie od tego, czy napastnik działa zdalnie, czy ma fizyczny dostęp do urządzenia. Oto dwa możliwe scenariusze, które pokazują skalę ryzyka:

1. Działania po przejęciu kontroli nad sprzętem
   W systemie Windows, nawet użytkownik bez uprawnień administratora może — za pomocą dostępnych API — nawiązać komunikację z firmware’em ControlVault i uruchomić w nim dowolny kod. Pozwala to m.in. na wykradanie kluczy kryptograficznych i trwałą modyfikację firmware’u. W efekcie możliwe jest zainstalowanie tzw. implantu — złośliwego kodu ukrytego w firmware, który może pozostać niewidoczny i zostać wykorzystany później do ponownego ataku, nawet po reinstalacji systemu.
2. Atak fizyczny na sprzęt
   Wystarczy fizyczny dostęp do laptopa, by za pomocą złącza USB połączyć się z płytką USH (Unified Security Hub) i przeprowadzić atak — bez potrzeby znajomości hasła, PIN-u czy klucza szyfrowania dysku. Dodatkowo, jeśli system skonfigurowano do logowania odciskiem palca, zmodyfikowany firmware może zaakceptować dowolny odcisk, umożliwiając dostęp do systemu osobie nieuprawnionej.

Jak ograniczyć ryzyko?

• Aktualizacja oprogramowania:
  Najskuteczniejszą metodą ochrony jest instalacja najnowszych wersji firmware’u. Dell udostępnia je najpierw na swojej stronie, a z czasem również przez Windows Update. Dell udostępnił już aktualizacje, których instalacja rozwiązuje problem.
• Wyłączenie nieużywanych komponentów:
  Jeśli urządzenia biometryczne (czytnik linii papilarnych, karta NFC, smart card) nie są wykorzystywane, warto wyłączyć odpowiednie usługi w Menedżerze usług i urządzeniach w Windows.
• Zmiana ustawień logowania:
  W środowiskach podwyższonego ryzyka, takich jak hotele, przestrzenie współdzielone czy podróże służbowe, zaleca się tymczasowe wyłączenie logowania biometrycznego. Można także rozważyć aktywację funkcji Enhanced Sign-in Security (ESS) dostępnej w systemie Windows.

Jak wykryć potencjalne naruszenie bezpieczeństwa?

• Detekcja fizycznej ingerencji:
  W wielu modelach laptopów Dell można w BIOS-ie włączyć detekcję otwarcia obudowy. System poinformuje użytkownika o możliwym naruszeniu fizycznym.
• Monitorowanie logów systemowych:
  Nieoczekiwane awarie usług, takich jak Windows Biometric Service czy Credential Vault, mogą sugerować próbę ataku lub nieprawidłowe działanie firmware’u.
• Sygnatury w oprogramowaniu ochronnym:
  Użytkownicy Cisco Secure Endpoint powinni zwrócić uwagę na alert: „bcmbipdll.dll Loaded by Abnormal Process”, który może wskazywać na nieautoryzowaną aktywność.