En junio pasado, el investigador Alex Matrosov
CVE-2025-3052
publicó una vulnerabilidad de bypass del UEFI de Microsoft.
Ahora, el investigador Nikolaj Schlej estaba «jugando» con su Huawei Matebook
2023 y UEFI Insyde H₂O, se dio cuenta de un bug clásico: el
firmware permitía crear variables NVRAM volátiles con el mismo nombre y
GUID que las persistentes (NVRAM). Esto crea un shadowing no
controlado, permitiendo usar esas variables para pasar datos arbitrarios al
firmware.
Hydroph0bia (CVE-2025-4275) es una vulnerabilidad que aplica a firmware
InsydeH2O® UEFI BIOS. El bug fue reportado responsablemente a Insyde y parcheado a los 90
días. Esta vulnerabilidad abre la puerta a instalar código sin firmar durante
el arranque sin modificar la key del arranque seguro.
Y aquí viene el truco: si un atacante con privilegios puede escribir un
ejecutable malicioso en la EFI System Partition (ESP) y plantar una
variable NVRAM modifica, puede engañar al firmware para que confíe en
ese binario como si viniera firmado. Y no es una broma: Insyde lo dejó abierto
para que se ejecuten aplicaciones UEFI no firmadas, simplemente por tener esos
permisos.
La vulnerabilidad podría explotarse mediante un módulo legítimo para
distribuir malware bootkit persistente incluso si se reemplaza el
disco. Además, una vulnerabilidad rootkit en el sistema de arranque
seguro de Windows podría permitir a los atacantes eludir las comprobaciones
UEFI diseñadas para prevenir la instalación de firmware no autorizado.
El nuevo el impacto implica que, con privilegios de usuario, se deja el
payload en ESP y el malware arranca con Secure Boot. Todo mientras el
sistema operativo te dice «Secure Boot activado». Este es un ataque de
persistencia profunda, que sobrevive reinstalaciones y revisiones de seguridad
a nivel kernel.
Al igual que el bug en módulos firmados de junio pasado (CVE-2025-3052), Hydroph0bia es un ataque pre-OS que se aprovecha del control de NVRAM y de
la confianza del firmware. La principal diferencia es que apunta a UEFI Insyde
H₂O, no solo a módulos firmados con Microsoft UEFI CA. Esto amplía la
superficie de ataque.
Ambos bugs permiten bypass de Secure Boot y ejecución de
payloads no firmados, pero este es más «universal» en plataformas
Insyde, aprovechando shadowing de variables en vez de desbordamientos.
Fuente:
HackPlayers