ReVault: Malware Firmware yang Tetap Aktif Meski Windows Dihapus, Ancaman Serius untuk Laptop

Peneliti keamanan siber dari Cisco Talos menemukan serangan berbahaya bernama ReVault yang menargetkan firmware Dell ControlVault3. Bahayanya, serangan ini bisa tetap aktif meski pengguna sudah menghapus atau menginstal ulang Windows. Lebih dari 100 model laptop Dell diperkirakan terdampak.

Dilansir dari The Hacker News, ReVault memanfaatkan lima celah keamanan (CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-24311, dan CVE-2025-24919) di firmware ControlVault3 dan API Windows. Dengan celah ini, peretas bisa melewati login Windows, mencuri kunci kriptografi, hingga memasang implant berbahaya yang sulit dideteksi.

Cisco Talos menjelaskan, serangan ini bisa dilakukan oleh peretas yang sudah punya akses awal ke perangkat (post-compromise) atau lewat serangan fisik. Bahkan, dengan membongkar laptop dan mengakses Unified Security Hub (USH) board, peretas bisa mengeksploitasi celah tersebut tanpa perlu kata sandi atau kunci enkripsi disk.

Philippe Laulheret, peneliti Cisco Talos, mengatakan: “Serangan ReVault dapat digunakan sebagai teknik persistensi pasca-kompromi yang dapat bertahan bahkan setelah Windows diinstal ulang. Serangan ReVault juga dapat digunakan sebagai kompromi fisik untuk melewati login Windows dan/atau memungkinkan pengguna lokal mana pun mendapatkan hak Admin/Sistem.”

Ancaman ini patut diwaspadai terutama bagi industri yang memakai sistem keamanan tinggi seperti pembaca kartu pintar (smart card readers) atau pembaca NFC. Kedua perangkat ini biasanya mengandalkan ControlVault untuk menyimpan data kredensial secara aman.

Dell telah merilis pembaruan keamanan untuk menutup celah ini. Pengguna diminta segera menginstal patch tersebut, mematikan layanan ControlVault jika tidak digunakan, serta menonaktifkan login sidik jari di kondisi berisiko tinggi.

Baca juga: GreedyBear Serang Firefox: Curi Kripto Lewat Ekstensi Palsu, Total Kerugian Lebih dari $1 Juta

Dengan kemampuannya bertahan di luar sistem operasi, ReVault menjadi salah satu serangan firmware paling berbahaya yang terungkap di konferensi keamanan Black Hat USA 2025.