Por Mid 
Hydroph0bia (CVE-2025-4275): otro golpe a Secure Boot
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- La vulnerabilidad CVE-2025-4275, conocida como Hydroph0bia, permite la instalación de código no firmado en el arranque de sistemas UEFI Insyde H₂O.
- Facilita la ejecución de malware junto a Secure Boot, mientras el sistema operativo reporta que «Secure Boot está activado».
- El ataque es persistente y puede sobrevivir a reinstalaciones del sistema operativo y auditorías de seguridad a nivel de kernel.
- Explota la confianza del firmware al permitir la creación de variables NVRAM volátiles que pueden interceptar el funcionamiento de variables persistentes.
- Amplía la superficie de ataque de UEFI, representando un riesgo significativo para dispositivos que utilicen este firmware.
Índice
- Introducción
- Descripción de la Vulnerabilidad
- Impacto de la Vulnerabilidad
- Comparación con Vulnerabilidades Anteriores
- Referencias
Introducción
Recientemente, ha surgido una nueva vulnerabilidad, identificada como CVE-2025-4275, que vuelve a desafiar la seguridad de Secure Boot. Esta falla, denominada Hydroph0bia, está relacionada con el firmware UEFI proveniente de Insyde H₂O. Se reportó de manera responsable a Insyde y, tras un período de 90 días, se implementó el correspondiente parche. Este bug permite la instalación de código no firmado durante el proceso de arranque, sin afectar la clave del arranque seguro.
Descripción de la Vulnerabilidad
La historia comienza con la exploración de un investigador en un Huawei Matebook 2023, que utilizaba UEFI de Insyde H₂O. Durante su trabajo, descubrió una vulnerabilidad clásica pero significativa: el firmware dejaba crear variables NVRAM volátiles con los mismos nombres y GUID que las variables persistentes. Este comportamiento provoca un shadowing descontrolado, lo cual permite que se transmitan datos arbitrarios al firmware.
El elemento crucial radica en que, si un atacante con suficientes privilegios logra escribir un ejecutable malicioso en la EFI System Partition y colocar una variable NVRAM manipulada, puede inducir al firmware a aceptar ese binario como si estuviera firmado. No es un simple error: Insyde dejó la puerta abierta, facilitando la carga y ejecución de cápsulas o aplicaciones UEFI no firmadas con solo tener esos privilegios.
Impacto de la Vulnerabilidad
El impacto de esta vulnerabilidad es notable: con permisos de usuario, el atacante puede dejar su payload en la ESP, establecer la variable en NVRAM, reiniciar el sistema y, ¡sorpresa!, el malware comienza a ejecutarse junto a Secure Boot, todo mientras el sistema operativo muestra que «Secure Boot está activado». Se trata de un ataque de persistencia profundo que resiste reinstalaciones y auditorías de seguridad a nivel de kernel.
Comparación con Vulnerabilidades Anteriores
Como ya habrás deducido, Hydroph0bia es un ataque pre-OS que explota el control sobre NVRAM y la confianza del firmware, similar a la vulnerabilidad en módulos firmados (3052). No obstante, la diferencia clave es que este afecta específicamente a UEFI Insyde H₂O, a diferencia de aquellos que solo se dirigen a módulos firmados con Microsoft UEFI CA, ampliando así la superficie de ataque. Ambos casos permiten omitir Secure Boot y ejecutar payloads no firmados, pero este último resulta ser más «universal» en plataformas Insyde, aprovechándose del shadowing de variables en lugar de desbordamientos.
Referencias
Puedes encontrar más detalles en: https://coderush.me/hydroph0bia-part1/