ডেল ল্যাপটপের ১০০টিরও বেশি মডেলে থাকা কন্ট্রোলভল্ট৩ ফার্মওয়্যারের ত্রুটি হ্যাকারদের উইন্ডোজ লগইন বাইপাস করে ম্যালওয়্যার ইনস্টল করতে সক্ষম করছে, যা সিস্টেম রিইনস্টলেশনের পরেও টিকে থাকে। এই ত্রুটিগুলোকে “রিভল্ট” নামে অভিহিত করেছে সিসকোর তালোস সিকিউরিটি বিভাগ।
ডেল কন্ট্রোলভল্ট হলো একটি হার্ডওয়্যার-ভিত্তিক নিরাপত্তা সমাধান, যা পাসওয়ার্ড, বায়োমেট্রিক ডেটা এবং সিকিউরিটি কোডগুলো ফার্মওয়্যারে একটি ডেডিকেটেড ডটারবোর্ডে সংরক্ষণ করে, যাকে ইউনিফাইড সিকিউরিটি হাব (ইউএসএইচ) বলা হয়। এই ত্রুটিগুলো ডেলের ব্যবসায়িক কেন্দ্রিক ল্যাটিটিউড এবং প্রিসিশন ল্যাপটপ সিরিজের কন্ট্রোলভল্ট৩ ফার্মওয়্যার এবং এর উইন্ডোজ অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআই) উভয়কেই প্রভাবিত করে। এই ডিভাইসগুলো সাইবার নিরাপত্তা, সরকারি এবং শিল্প ক্ষেত্রে জনপ্রিয়, যেখানে স্মার্টকার্ড, ফিঙ্গারপ্রিন্ট এবং এনএফসি প্রমাণীকরণের জন্য ব্যবহৃত হয়।
রিভল্ট ত্রুটির মধ্যে রয়েছে আউট-অফ-বাউন্ডস ত্রুটি (CVE-2025-24311, CVE-2025-25050), আর্বিট্রারি ফ্রি ত্রুটি (CVE-2025-25215), স্ট্যাক ওভারফ্লো (CVE-2025-24922) এবং কন্ট্রোলভল্টের উইন্ডোজ এপিআই-এর একটি অনিরাপদ ডিসিরিয়ালাইজেশন সমস্যা (CVE-2025-24919)। ডেল মার্চ থেকে মে মাসের মধ্যে কন্ট্রোলভল্ট৩ ড্রাইভার এবং ফার্মওয়্যারের জন্য নিরাপত্তা আপডেট প্রকাশ করেছে। প্রভাবিত মডেলের পূর্ণ তালিকা ডেলের নিরাপত্তা পরামর্শে পাওয়া যাবে।
উইন্ডোজ লগইন বাইপাস এবং প্রিভিলেজ এসকেলেশন
এই ত্রুটিগুলো একত্রিত করে হ্যাকাররা ফার্মওয়্যারে আর্বিট্রারি কোড এক্সিকিউশনের সুযোগ পেতে পারে, যা উইন্ডোজ রিইনস্টলেশনের পরেও টিকে থাকা পার্সিস্টেন্ট ইমপ্লান্ট তৈরি করতে পারে। এছাড়াও, তারা ফিজিক্যাল অ্যাক্সেসের মাধ্যমে উইন্ডোজ লগইন বাইপাস করতে বা স্থানীয় ব্যবহারকারীর প্রিভিলেজকে অ্যাডমিনিস্ট্রেটর পর্যায়ে উন্নীত করতে পারে।
সিসকো তালোস জানিয়েছে, “একজন স্থানীয় আক্রমণকারী যিনি ব্যবহারকারীর ল্যাপটপে ফিজিক্যাল অ্যাক্সেস পান, তিনি ল্যাপটপটি খুলে একটি কাস্টম কানেক্টরের মাধ্যমে ইউএসএইচ বোর্ডে সরাসরি ইউএসবি অ্যাক্সেস করতে পারেন। এরপর, পূর্বে বর্ণিত সকল ত্রুটি আক্রমণকারীর জন্য ব্যবহারযোগ্য হয়ে ওঠে, এমনকি সিস্টেমে লগইন বা ফুল-ডিস্ক এনক্রিপশন পাসওয়ার্ড জানার প্রয়োজন ছাড়াই।”
সফল শোষণের মাধ্যমে হ্যাকাররা ফিঙ্গারপ্রিন্ট প্রমাণীকরণে হস্তক্ষেপ করতে পারে, যার ফলে ডিভাইসটি শুধুমাত্র বৈধ ব্যবহারকারীর ফিঙ্গারপ্রিন্টের পরিবর্তে যেকোনো ফিঙ্গারপ্রিন্ট গ্রহণ করতে পারে।
সমাধানের পরামর্শ
তালোস সিস্টেমকে উইন্ডোজ আপডেট বা ডেলের ওয়েবসাইটের মাধ্যমে আপডেট রাখার পরামর্শ দিয়েছে। এছাড়াও, অব্যবহৃত নিরাপত্তা পেরিফেরাল যেমন ফিঙ্গারপ্রিন্ট রিডার, স্মার্টকার্ড রিডার এবং এনএফসি রিডার নিষ্ক্রিয় করা এবং উচ্চ-ঝুঁকিপূর্ণ পরিস্থিতিতে ফিঙ্গারপ্রিন্ট লগইন বন্ধ করার পরামর্শ দেওয়া হয়েছে। ফিজিক্যাল আক্রমণ থেকে সুরক্ষার জন্য, গবেষকরা কম্পিউটারের বায়োস সেটিংসে চ্যাসিস ইনট্রুশন ডিটেকশন সক্রিয় করার পরামর্শ দিয়েছেন, যা ফিজিক্যাল টেম্পারিংয়ের প্রচেষ্টা চিহ্নিত করতে পারে। এছাড়াও, উইন্ডোজে এনহান্সড সাইন-ইন সিকিউরিটি (ইএসএস) সক্রিয় করলে অনুপযুক্ত সিভি ফার্মওয়্যার শনাক্ত করা যায়।
