تم نشر رمز جهاز BIOS الخاص بمعالجات Intel Alder Lake على 4chan
قبل أيام قليلة على النت تم نشر الأخبار حول تسريب رمز UFEI لبحيرة Alder Lake من Intel في 4chan وتم نشر نسخة لاحقًا على GitHub.
حول القضية إنتل ، لم تطبق على الفور ، لكنها أكدت الآن صحتها من أكواد مصدر البرامج الثابتة UEFI و BIOS التي نشرها شخص غير معروف على GitHub. في المجموع ، تم نشر 5,8 جيجا بايت من التعليمات البرمجية والمرافق والوثائق والنقاط الكبيرة والتكوينات المتعلقة بتكوين البرامج الثابتة للأنظمة ذات المعالجات القائمة على معمارية Alder Lake الدقيقة ، والتي تم إصدارها في نوفمبر 2021.
تذكر شركة إنتل أن الملفات ذات الصلة كانت متداولة منذ أيام قليلة وعلى هذا النحو يتم تأكيد الخبر مباشرة من شركة إنتل ، التي تذكر أنها ترغب في الإشارة إلى أن الأمر لا ينطوي على مخاطر جديدة على أمان الرقائق و الأنظمة التي تُستخدم فيها ، لذا فهي تدعو إلى عدم الانزعاج من القضية.
وفقًا لشركة Intel ، حدث التسريب بسبب طرف ثالث وليس نتيجة حل وسط في البنية التحتية للشركة.
"يبدو أن كود UEFI الخاص بنا قد تم تسريبه من قبل طرف ثالث. لا نعتقد أن هذا سيكشف أي ثغرات أمنية جديدة ، لأننا لا نعتمد على إخفاء المعلومات كإجراء أمني. يتم تغطية هذا الرمز بواسطة برنامج bug bounty الخاص بنا داخل Project Circuit Breaker ، ونحن نشجع أي باحث يمكنه تحديد نقاط الضعف المحتملة لجذب انتباهنا إليها من خلال هذا البرنامج. نحن نتواصل مع كل من العملاء ومجتمع البحث الأمني لإطلاعهم على هذا الموقف ". - المتحدث باسم إنتل.
على هذا النحو ، لم يتم تحديد من الذي أصبح مصدر التسرب بالضبط (على سبيل المثال ، كان لدى مصنعي المعدات الأصلية والشركات التي تطور البرامج الثابتة المخصصة إمكانية الوصول إلى الأدوات اللازمة لتجميع البرامج الثابتة).
حول القضيةيذكر ان تحليل محتوى الملف المنشور كشف عن بعض الاختبارات والخدمات خاص من منتجات Lenovo ("Lenovo Feature Tag Test Information" ، "Lenovo String Service" ، "Lenovo Secure Suite" ، "Lenovo Cloud Service") ، لكن مشاركة Lenovo في التسريب كشفت أيضًا عن أدوات مساعدة ومكتبات من Insyde Software ، التي تطور البرامج الثابتة لمصنعي المعدات الأصلية ، و يحتوي سجل git على بريد إلكتروني من أحد موظفي مركز المستقبل LC، التي تنتج أجهزة كمبيوتر محمولة لمختلف مصنعي المعدات الأصلية.
وفقًا لشركة Intel ، فإن الكود الذي تم إدخاله في الوصول المفتوح لا يحتوي على بيانات حساسة أو المكونات التي قد تساهم في الكشف عن ثغرات أمنية جديدة. في الوقت نفسه ، كشف مارك Yermolov ، المتخصص في البحث عن أمان منصات Intel ، في معلومات الملف المنشورة حول سجلات MSR غير الموثقة (السجلات الخاصة بالطراز ، والمستخدمة لإدارة الرمز الصغير ، والتتبع ، وتصحيح الأخطاء) ، والمعلومات التي تندرج تحت اتفاقية غير سرية.
وبالإضافة إلى ذلك، تم العثور على مفتاح خاص في الملف ، والذي يستخدم لتوقيع البرنامج الثابت رقميًاأن يمكن استخدامها لتجاوز حماية Intel Boot Guard (لم يتم تأكيد عمل المفتاح ، فقد يكون مفتاح اختبار.)
يذكر أيضًا أن الكود الذي دخل إلى الوصول المفتوح يغطي برنامج Project Circuit Breaker ، والذي يتضمن دفع مكافآت تتراوح من 500 دولار إلى 100,000 دولار لتحديد مشاكل الأمان في البرامج الثابتة ومنتجات إنتل (من المفهوم أنه يمكن للباحثين الحصول على مكافآت للإبلاغ عنها. تم اكتشاف نقاط الضعف باستخدام محتويات التسرب).
وأضافت إنتل: "تمت تغطية هذا الرمز بواسطة برنامج bug bounty الخاص بنا ضمن حملة Project Circuit Breaker ، ونحن نشجع أي باحث يمكنه تحديد نقاط الضعف المحتملة لإبلاغنا بها من خلال هذا البرنامج".
أخيرًا ، تجدر الإشارة إلى أنه فيما يتعلق بتسريب البيانات ، فإن أحدث تغيير في الكود المنشور بتاريخ 30 سبتمبر 2022 ، لذلك يتم تحديث المعلومات الصادرة.