Wallisellen – Cisco Talos, die Forschungsabteilung für Cybersicherheit, hat schwerwiegende Sicherheitslücken in über 100 Modellen von Dell-Laptops mit Broadcom-Chips entdeckt. Davon sind weltweit mehr als 10 Millionen Geräte betroffen. Die fünf Schwachstellen bei der Dell ControlVault (CV)-Firmware ermöglichen es Angreifern, die vollständige Kontrolle über das Gerät eines Users zu erlangen. Damit können sie Passwörter stehlen und auf sensible Informationen wie Fingerabdruck-Daten zugreifen. Zu den Angriffsszenarien gehören die Ausweitung von Berechtigungen, der dauerhafte Zugriff auch nach einer Neuinstallation des Betriebssystems und die Ausnutzung durch physische Manipulation.
Zur Abwehr dieser Angriffe empfiehlt Talos:
- Halten Sie Ihre Systeme auf dem neuesten Stand, damit die aktuellste Firmware installiert ist. Die CV-Firmware kann zwar automatisch über Windows Update bereitgestellt werden, aber neue Firmware wird in der Regel einige Wochen zuvor auf der Dell-Website veröffentlicht.
- Wenn Sie kein Sicherheitsperipheriegerät wie Fingerabdruck-, Smartcard- oder NFC-Leser nutzen, können Sie die CV-Dienste über den Service-Manager und/oder das CV-Gerät über den Geräte-Manager deaktivieren.
- Die Anmeldung per Fingerabdruck lässt sich bei hohem Risiko ausschalten, etwa wenn der Laptop unbeaufsichtigt im Hotelzimmer bleibt. Windows bietet auch eine erweiterte Anmeldesicherheit (Enhanced Sign-in Security, ESS), die physische Angriffe abwehren und unsichere CV-Firmware erkennen kann.
Wie lässt sich ein Angriff erkennen?
Die von Cisco Talos als «ReVault» bezeichneten Attacken weisen oft folgende Symptome auf:
- Je nach Laptop-Modell lässt sich die Gehäuse-Einbruchserkennung im BIOS des Computers aktivieren. Dadurch werden physische Manipulationen gemeldet. Eventuell ist auch ein Kennwort einzugeben, um die Warnung zu löschen und den Computer neu zu starten.
- In den Windows-Protokollen können unerwartete Abstürze des Windows Biometric Service oder verschiedener CV-Dienste ein Anzeichen für eine Kompromittierung sein.
- Wer Cisco Secure Endpoint verwendet, kann mit der Signaturdefinition «bcmbipdll.dll Loaded by Abnormal Process» auf potenzielle Risiken aufmerksam gemacht werden.
«Unsere Erkenntnisse zeigen, wie wichtig es ist, die Sicherheit aller Hardware-Komponenten in den Geräten zu prüfen – nicht nur Betriebssystem oder Software», sagt Thorsten Rosendahl, Technical Leader von Cisco Talos. «Schwachstellen in weit verbreiteter Firmware wie Dell ControlVault können schwerwiegende Folgen haben und sogar moderne Sicherheitsfunktionen wie die biometrische Authentifizierung aushebeln. Bleiben Sie also wachsam, bewerten Sie Risiken proaktiv und schützen Sie Ihre Systeme vor neuen Bedrohungen, indem Sie diese frühzeitig patchen. Dies gilt für Geräte und Anwendungen ebenso wie für das Unternehmensnetzwerk und KI-Lösungen.»
Welche Schwachstellen sind das?
Es handelt sich um zwei Out-of-Bounds-Schwachstellen (CVE-2025-24311, CVE-2025-25050), eine beliebige Freigabe (CVE-2025-25215) und einen Stack-Überlauf (CVE-2025-24922) in der Dell ControlVault3-Firmware. Hinzu kommt eine unsichere Deserialisierung (CVE-2025-24919), welche die Windows-APIs von ControlVault betrifft.
Was ist Dell ControlVault?
«Dell ControlVault ist eine hardwarebasierte Sicherheitslösung, die eine sichere Umgebung zur Speicherung Ihrer Kennwörter, biometrischen Vorlagen und Sicherheitscodes innerhalb der Firmware bietet», so der Hersteller. Die so genannte Unified Security Hub (USH)-Platine führt die Sicherheitsfunktionen aus und sorgt für die Verbindung mit Peripheriegeräten wie Fingerabdruck-, Smartcard- und NFC-Leser.
Die aktuellen Versionen ControlVault3 und ControlVault3+ befinden sich in über 100 Modellen von Dell-Laptops, vor allem in den Serien Lattitude und Precision. Sie kommen häufig in der Cybersicherheitsbranche, in Behörden und in anspruchsvollen Umgebungen zum Einsatz.
Wie können Angreifer die Lücken ausnutzen?
Die entdeckten Schwachstellen ermöglichen unter anderem zwei kritische Angriffsszenarien. Im ersten Fall kann in Windows ein normaler User über die zugehörigen APIs mit ControlVault (CV) interagieren und eine beliebige Codeausführung auf der Firmware auslösen, um sie dauerhaft zu modifizieren. Das sogenannte Implantat bleibt unbemerkt in der CV-Firmware und kann als Zugangspunkt auf das System für weitere Angriffe verwendet werden. Das Video im Blogbeitrag zeigt, wie eine manipulierte CV-Firmware zum Hacken von Windows über den Deserialisierungsfehler genutzt wird.
Bei der zweiten Variante kann ein lokaler Angreifer mit physischem Zugang zum Laptop über USB mit einem speziellen Anschluss direkt auf die USH-Platine zugreifen. Von dort aus stehen alle zuvor beschriebenen Schwachstellen offen, ohne dass er sich in das System einloggen oder das Passwort für die vollständige Festplattenverschlüsselung kennen muss. Zwar lässt sich ein Eindringen in das Gehäuse erkennen, doch muss diese Funktion zuvor aktiviert werden, damit sie vor einer Manipulation warnen kann. Zusätzlich ist es bei eingerichteter Fingerabdruck-Erkennung möglich, die CV-Firmware so zu manipulieren, dass sie jeden beliebigen Fingerabdruck akzeptiert. (pd/mc/pg)
Weitere Informationen finden Sie im Blogbeitrag von Cisco Talos hier.