Hydroph0bia (CVE​-2025​-4275): otro golpe a Secure Boot

Y casi de la mano de CVE-2025-4275 cae otra vulnerabilidad que pone de nuevo patas arriba a Secure Boot. Le han bautizado como Hydroph0bia (sí, el pun de Insyde H₂O no es casualidad) y aplica sobre firmware UEFI basado en Insyde H₂O. El bug, reportado responsablemente a Insyde y parcheado a los 90 días, abrió la puerta a instalar código sin firmar durante el arranque… sin joder estropear la key del arranque seguro.

Todo comenzó con un investigador que, tras trastear con un Huawei Matebook 2023 que montaba UEFI Insyde H₂O, se dio cuenta de un bug clásico pero potente: el firmware permitía crear variables NVRAM volátiles con el mismo nombre y GUID que las persistentes (NVRAM). Esto crea un shadowing no controlado, permitiendo usar esas variables para pasar datos arbitrarios al firmware.

Y aquí viene el truco: si un atacante con privilegios puede escribir un ejecutable malicioso en la EFI System Partition y plantar una variable NVRAM trucada, puede engañar al firmware para que confíe en ese binario como si viniera firmado. Y no es una broma: Insyde lo dejó abierto a que cargues y ejecutes cápsulas o aplicaciones UEFI no firmadas, simplemente por tener esos permisos.

Imagina de nuevo el impacto: con privilegios de usuario, dejas el payload en ESP, metes la variable en NVRAM, reinicias y ZAS: el malware arranca con Secure Boot. Todo mientras el sistema operativo te dice “Secure Boot activado”. Un ataque de persistencia profunda, que sobrevive reinstalaciones y revisiones de seguridad a nivel kernel. 

Tenéis el detalle en: https://coderush.me/hydroph0bia-part1/

Como habéis seguro hilado, al igual que el bug en módulos firmados (3052), Hydroph0bia es un ataque pre-OS que se aprovecha del control de NVRAM y de la confianza del firmware. La principal diferencia es que apunta a UEFI Insyde H₂O, no solo a módulos firmados con Microsoft UEFI CA. Esto amplía la superficie de ataque.

Ambos permiten bypass de Secure Boot y ejecución de payloads no firmados, pero este es más “universal” en plataformas Insyde, aprovechando shadowing de variables en vez de desbordamientos.