ช่องโหว่เฟิร์มแวร์ของ ControlVault3 ที่ส่งผลกระทบกับแล็ปท็อป Dell มากกว่า 100 รุ่น อาจทำให้ผู้โจมตีสามารถ bypass การเข้าสู่ระบบ Windows และติดตั้งมัลแวร์ที่แฝงตัวอยู่ได้แม้จะมีการติดตั้งระบบใหม่
Dell ControlVault เป็นโซลูชันด้านความปลอดภัยที่ใช้ฮาร์ดแวร์, ซึ่งมีหน้าที่จัดเก็บรหัสผ่าน, ข้อมูล biometric และรหัสความปลอดภัยไว้ในเฟิร์มแวร์ของ dedicated daughterboard ที่เรียกว่า Unified Security Hub (USH)
ช่องโหว่ทั้ง 5 รายการที่รายงานโดยหน่วยงาน Talos ของ Cisco และถูกเรียกว่า "ReVault" ซึ่งส่งผลกระทบทั้งเฟิร์มแวร์ ControlVault3 และ API ของ Windows ที่ใช้งานร่วมกับอุปกรณ์ในรุ่น Latitude และ Precision ของ Dell ซึ่งเป็นแล็ปท็อปในรูปแบบ business
อุปกรณ์เหล่านี้ได้รับความนิยมในด้านความปลอดภัยทางไซเบอร์ภาครัฐ และสภาพแวดล้อมทางอุตสาหกรรม ซึ่งมักมีการใช้สมาร์ตการ์ด, ลายนิ้วมือ และ NFC เพื่อการยืนยันตัวตน
รายการช่องโหว่ ReVault ประกอบด้วยช่องโหว่ประเภท out-of-bounds (CVE-2025-24311, CVE-2025-25050), ช่องโหว่การจัดการหน่วยความจำแบบ arbitrary free (CVE-2025-25215), ช่องโหว่ stack overflow (CVE-2025-24922), และช่องโหว่ unsafe deserialization (CVE-2025-24919) ซึ่งส่งผลกระทบต่อ API ของ ControlVault บน Windows
ทาง Dell ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ ReVault ใน driver และ firmware ของ ControlVault3 ตั้งแต่เดือนมีนาคมถึงพฤษภาคม โดยสามารถดูรายชื่อรุ่นที่ได้รับผลกระทบทั้งหมดได้จากเอกสารคำแนะนำด้านความปลอดภัยของ Dell
การ bypass เข้าสู่ระบบ Windows และการยกระดับสิทธิ์
การเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามต้องการบนเฟิร์มแวร์ได้ ซึ่งอาจนำไปสู่การฝังมัลแวร์ถาวรที่ยังสามารถแฝงตัวอยู่ได้แม้จะมีการติดตั้ง Windows ใหม่
ผู้โจมตีที่สามารถเข้าถึงเครื่องในรูปแแบบ physical access สามารถ bypass การเข้าสู่ระบบของ Windows หรือยกระดับสิทธิ์ผู้ใช้ในเครื่องให้เป็นระดับผู้ดูแลระบบได้
Cisco Talos ระบุว่า หากผู้โจมตีที่อยู่ในระดับ local และสามารถเข้าถึงตัวเครื่องแล็ปท็อปได้ สามารถดำเนินการในรูปแบบ directly access ไปยัง USH board over โดยตรงผ่าน USB โดยใช้ custom connector
จากนั้น ช่องโหว่ทั้งหมดที่กล่าวมาก่อนหน้านี้ก็จะอยู่ในขอบเขตการโจมตีของผู้โจมตี โดยไม่จำเป็นต้องล็อกอินเข้าสู่ระบบ หรือรู้รหัสผ่านใน Full Disk Encryption
การโจมตีที่สำเร็จอาจทำให้ผู้โจมตีสามารถ ควบคุมระบบยืนยันตัวตนโดยใช้ลายนิ้วมือได้ โดยบังคับให้เครื่องเป้าหมายยอมรับลายนิ้วมือใดก็ได้ตามต้องการ ซึ่งไม่เฉพาะเจาะจงของผู้ใช้ที่ได้รับอนุญาต
Cisco Talos แนะนำให้อัปเดตระบบผ่านทาง Windows Update หรือเว็บไซต์ของ Dell, ปิดการใช้งานอุปกรณ์ต่อพ่วงที่ไม่ได้ใช้งาน เช่น เครื่องอ่านลายนิ้วมือ, เครื่องอ่านสมาร์ทการ์ด และเครื่องอ่าน NFC รวมไปถึงปิดการใช้งานการเข้าสู่ระบบด้วยลายนิ้วมือในสถานการณ์ที่มีความเสี่ยงสูง
เพื่อลดผลกระทบจากการโจมตีโดยการเข้าถึงในรูปแบบ physical attacks นักวิจัยยังแนะนำให้ เปิดใช้งาน Chassis Intrusion Detection ใน BIOS เพื่อแจ้งเตือนเมื่อมีความพยายามเปิด หรือแกะเครื่อง และเปิดใช้ Enhanced Sign-in Security (ESS) ใน Windows เพื่อช่วยตรวจจับเฟิร์มแวร์ CV ที่ไม่ปลอดภัย หรือถูกดัดแปลง
ที่มา : bleepingcomputer
You must be logged in to post a comment.