Hydroph0bia (CVE-2025-4275): El grave fallo que bypassea Secure Boot en dispositivos con firmware InsydeH₂O

SeguridadNoticias

Published:

Reading time: 1 min.

Investigadores de seguridad han revelado Hydroph0bia (CVE-2025-4275), una vulnerabilidad crítica en el firmware InsydeH₂O UEFI BIOS que permite eludir Secure Boot y ejecutar código malicioso no firmado durante el arranque, incluso en sistemas con verificación de seguridad activada. El fallo afecta a millones de dispositivos, incluyendo portátiles Huawei, Dell, Lenovo y otros fabricantes que utilizan este firmware.

🔍 ¿Cómo funciona el ataque?

  1. Shadowing de variables NVRAM:

    • El firmware permite crear variables volátiles con el mismo nombre y GUID que las persistentes, sobrescribiendo su contenido.

  2. Engaño al firmware:

    • Un atacante con privilegios de administrador puede plantar un ejecutable malicioso en la partición EFI (ESP) y modificar variables NVRAM para hacerlo parecer «confiable».

  3. Bypass de Secure Boot:

    • El firmware carga el código no firmado como si estuviera verificado, burlando las protecciones de arranque seguro.

⚠️ Impacto

  • Persistencia deep-level: El malware sobrevive a reinstalaciones del SO, reemplazo de disco y actualizaciones de firmware.

  • Dispositivos afectados: Portátiles con firmware InsydeH₂O (ej: Huawei Matebook 2023, algunos Dell/Lenovo).

  • Escalada de privilegios: Requiere acceso administrativo inicial, pero luego compromete todo el sistema pre-OS.

🛡️ Parches y mitigaciones

  • Insyde Software: Parcheó la vulnerabilidad a los 90 días del reporte.

  • Actualizar firmware: Los usuarios deben instalar las últimas versiones de BIOS proporcionadas por su fabricante.

  • Verificar Secure Boot: Aunque el sistema diga «Secure Boot activado», el fallo lo elude silenciosamente.

🔗 Contexto técnico

  • Relación con CVE-2025-3052: Ambos son bypasses de Secure Boot, pero Hydroph0bia usa shadowing de NVRAM en lugar de desbordamientos.

  • Exploits públicos: Disponibles en GitHub (solo para pruebas éticas).

  • Documentación extendidaParte 1 y Parte 2.

💡 Recomendaciones para usuarios

  1. Actualizar inmediatamente el firmware desde la web del fabricante.

  2. Restringir privilegios administrativos para mitigar el acceso inicial.

  3. Monitorizar particiones EFI con herramientas como CHIPSEC o UEFI Scanner.

¿Usas un dispositivo con InsydeH₂O? Verifica tu firmware y comparte esta alerta. ¡La persistencia a nivel de firmware es la más peligrosa!

Dato clave: Hydroph0bia demuestra que Secure Boot no es infalible. La vigilancia proactiva del firmware es esencial en entornos críticos. 🚨

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles