Các nhà nghiên cứu an ninh mạng tại Cisco Talos đã phát hiện năm lỗ hổng CVE nghiêm trọng trong phần cứng bảo mật Dell ControlVault3. Những lỗ hổng này có thể ảnh hưởng đến hàng triệu máy tính xách tay doanh nghiệp trên toàn thế giới, đặc biệt là các dòng Latitude và Precision được triển khai rộng rãi trong các công ty an ninh mạng, cơ quan chính phủ và doanh nghiệp yêu cầu tính năng bảo mật nâng cao.

Khám phá Lỗ hổng ReVault trong Dell ControlVault3

Các lỗ hổng, được đặt tên chung là “ReVault,” cho phép kẻ tấn công chiếm quyền điều khiển hệ thống từ xa và duy trì quyền truy cập bền bỉ ngay cả sau khi cài đặt lại hoàn toàn hệ điều hành Windows. Hơn 100 mẫu máy tính xách tay Dell đang được hỗ trợ tích cực bị ảnh hưởng.

Các thiết bị bị ảnh hưởng sử dụng firmware Dell ControlVault3 và ControlVault3+, vốn cung cấp tính năng bảo mật dựa trên phần cứng để lưu trữ mật khẩu, mẫu sinh trắc học và mã bảo mật.

Dell ControlVault hoạt động thông qua một bảng mạch con chuyên dụng có tên Unified Security Hub (USH). USH quản lý nhiều thiết bị ngoại vi bảo mật khác nhau, bao gồm đầu đọc dấu vân tay, đầu đọc thẻ thông minh và thiết bị NFC. Mặc dù phương pháp tiếp cận dựa trên phần cứng này được thiết kế để tăng cường bảo mật, nhưng các lỗ hổng được phát hiện đã biến thành phần đáng tin cậy này thành một vector tấn công tiềm tàng.

Chi tiết Kỹ thuật về các Lỗ hổng ReVault

Các nhà nghiên cứu của Talos đã xác định năm lỗ hổng riêng biệt, bao gồm cả firmware ControlVault và các API Windows của nó. Các lỗi kỹ thuật này cho phép kẻ tấn công thực hiện nhiều hành vi độc hại khác nhau.

Các Lỗ hổng Được Xác định

• CVE-2025-24311 và CVE-2025-25050: Đây là các lỗ hổng out-of-bounds. Những lỗi này xảy ra khi chương trình cố gắng truy cập dữ liệu bên ngoài ranh giới của một vùng bộ nhớ được cấp phát, có thể dẫn đến ghi đè bộ nhớ, treo hệ thống hoặc thực thi mã độc.
• CVE-2025-25215: Một lỗ hổng arbitrary free. Lỗi này cho phép kẻ tấn công giải phóng bộ nhớ không được cấp phát đúng cách hoặc giải phóng cùng một vùng bộ nhớ nhiều lần, dẫn đến các điều kiện lỗi nghiêm trọng như thực thi mã tùy ý.
• CVE-2025-24922: Lỗi tràn bộ đệm (stack overflow). Lỗi này xảy ra khi một chương trình ghi quá nhiều dữ liệu vào một vùng bộ nhớ đệm trên stack, làm ghi đè các dữ liệu hoặc lệnh quan trọng, cho phép kẻ tấn công chèn và thực thi mã độc.
• CVE-2025-24919: Một vấn đề deserialization không an toàn ảnh hưởng đến các thành phần API của Windows. Lỗ hổng này xảy ra khi dữ liệu đầu vào được deserialized (chuyển đổi từ định dạng lưu trữ sang đối tượng) mà không được kiểm tra đúng cách, cho phép kẻ tấn công chèn mã hoặc dữ liệu độc hại.

Kịch bản Tấn công và Tác động Nghiêm trọng

Khía cạnh đáng lo ngại nhất của các lỗ hổng CVE này là tiềm năng tạo ra các cài đặt mã độc dai dẳng. Theo Talos, kẻ tấn công có thể lợi dụng các lỗ hổng này để sửa đổi firmware vĩnh viễn, tạo ra các điểm truy cập ẩn tồn tại ngay cả khi cài đặt lại hệ điều hành và các biện pháp bảo mật truyền thống.

Khai thác Sau Xâm nhập (Post-Compromise)

Trong các tình huống sau khi hệ thống đã bị xâm nhập, người dùng không có quyền quản trị có thể tương tác với firmware ControlVault thông qua các API bị xâm phạm. Điều này cho phép họ thực thi mã tùy ý (remote code execution) và trích xuất các khóa mã hóa. Khả năng này cho phép kẻ tấn công thiết lập các backdoor dai dẳng, không bị phát hiện khi hệ thống được xây dựng lại.

Kịch bản Tấn công Vật lý

Các kịch bản tấn công vật lý cũng tiềm ẩn rủi ro nghiêm trọng không kém. Kẻ tấn công có quyền truy cập vật lý vào máy tính xách tay có thể giao tiếp trực tiếp với bo mạch USH bằng các đầu nối USB tùy chỉnh. Phương pháp này bỏ qua màn hình đăng nhập Windows và tính năng mã hóa toàn bộ đĩa. Đặc biệt đáng báo động là khả năng thao túng hệ thống xác thực bằng vân tay, cho phép bất kỳ dấu vân tay nào cũng có thể mở khóa các thiết bị được cấu hình để truy cập sinh trắc học.

Hậu quả và Biện pháp Khắc phục

Việc phát hiện ra các lỗ hổng này làm nổi bật những khoảng trống đáng kể về bảo mật trong các giải pháp bảo mật dựa trên phần cứng, vốn được các môi trường doanh nghiệp tin cậy rộng rãi. Các tổ chức sử dụng hệ thống Dell bị ảnh hưởng nên ngay lập tức áp dụng các bản vá bảo mật có sẵn và triển khai giám sát bổ sung đối với các hành vi bất thường của ControlVault.

Các lỗ hổng nêu bật tầm quan trọng của việc bảo mật các thành phần firmware hoạt động bên dưới ranh giới bảo mật hệ điều hành truyền thống. Dell đã xác nhận các lỗ hổng thông qua khuyến nghị bảo mật DSA-2025-053, cung cấp các bản vá cho các hệ thống bị ảnh hưởng. Việc cập nhật firmware và phần mềm liên quan là tối quan trọng để giảm thiểu rủi ro từ các lỗ hổng CVE này.