Хардуерният код на BIOS за процесори Intel Alder Lake беше публикуван на 4chan
Преди няколко дни в нета бяха публикувани новините за изтичането на UFEI код на Alder Lake от Intel на 4chan и копие по-късно беше публикувано в GitHub.
Относно случая Intel, не приложи незабавно, но сега потвърди автентичността от изходните кодове на фърмуера на UEFI и BIOS, публикувани от неизвестно лице в GitHub. Общо 5,8 GB код, помощни програми, документация, петна и конфигурации, свързани с формирането на фърмуер, са публикувани за системи с процесори, базирани на микроархитектурата Alder Lake, пусната през ноември 2021 г.
Intel споменава, че свързаните файлове са били в обращение от няколко дни и като такава новината се потвърждава директно от Intel, който споменава, че иска да отбележи, че въпросът не предполага нови рискове за сигурността на чиповете и системи, в които се използват, така че призовава да не се тревожи за случая.
Според Intel течът е възникнал поради трета страна а не в резултат на компромис в инфраструктурата на компанията.
„Нашият патентован UEFI код изглежда е изтекъл от трета страна. Не вярваме, че това ще разкрие нови уязвимости в сигурността, тъй като не разчитаме на прикриването на информация като мярка за сигурност. Този код е обхванат от нашата програма за награди за грешки в рамките на Project Circuit Breaker и ние насърчаваме всеки изследовател, който може да идентифицира потенциални уязвимости, да ни го обърне на внимание чрез тази програма. Ние се свързваме както с клиентите, така и с общността за изследване на сигурността, за да ги информираме за тази ситуация." — говорител на Intel.
Поради това не е уточнено кой точно е станал източникът на изтичане (тъй като например производителите на OEM оборудване и компаниите, разработващи персонализиран фърмуер, имаха достъп до инструментите за компилиране на фърмуера).
Относно случая, се споменава, че анализът на съдържанието на публикувания файл разкрива някои тестове и услуги специфичен на продуктите на Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), но участието на Lenovo в изтичането също така разкри помощни програми и библиотеки от Insyde Software, който разработва фърмуер за OEM производители, и git log съдържа имейл от един от служителите на Център за бъдещето на L.C, която произвежда лаптопи за различни OEM производители.
Според Intel кодът, който влезе в отворен достъп, не съдържа чувствителни данни или компоненти, които могат да допринесат за разкриването на нови уязвимости. В същото време Марк Ермолов, който е специализиран в изследване на сигурността на платформите на Intel, разкрива в публикувания файл информация за недокументирани MSR логове (специфични за модела регистрационни файлове, използвани за управление на микрокод, проследяване и отстраняване на грешки), информацията за които попада под споразумение за неповерителност.
Освен това, частен ключ е намерен във файла, който се използва за цифрово подписване на фърмуераЧе потенциално може да се използва за заобикаляне на защитата на Intel Boot Guard (Ключът не е потвърден, че работи, може да е тестов ключ.)
Споменава се също, че кодът, който влезе в отворен достъп, обхваща програмата Project Circuit Breaker, която включва изплащането на награди, вариращи от $500 до $100,000 XNUMX за идентифициране на проблеми със сигурността във фърмуера и продуктите на Intel (разбира се, че изследователите могат да получават награди, за да докладват уязвимости, открити чрез използване на съдържанието на теча).
„Този код е обхванат от нашата програма за награди за грешки в рамките на кампанията Project Circuit Breaker и ние насърчаваме всеки изследовател, който може да идентифицира потенциални уязвимости, да ни докладва за тях чрез тази програма“, добави Intel.
И накрая, заслужава да се спомене, че по отношение на изтичането на данни, най-новата промяна в публикувания код е с дата 30 септември 2022 г., така че публикуваната информация е актуализирана.