BIOS hardverski kod za Intel Alder Lake procesore je objavljen na 4chan
Prije nekoliko dana na netu objavljena je vijest o curenju koda UFEI jezera Alder od Intela na 4chan, a kopija je kasnije objavljena na GitHubu.
O slučaju Intel se nije odmah prijavio, ali je sada potvrdio autentičnost iz izvornih kodova firmvera UEFI i BIOS-a koje je objavila nepoznata osoba na GitHub-u. Ukupno je objavljeno 5,8 GB koda, uslužnih programa, dokumentacije, blob-ova i konfiguracija u vezi sa formiranjem firmvera za sisteme sa procesorima baziranim na mikroarhitekturi Alder Lake, objavljenom u novembru 2021.
Intel napominje da su povezani fajlovi u opticaju već nekoliko dana i kao takva vijest se potvrđuje direktno iz Intela, koji napominje da želi istaći da stvar ne podrazumijeva nove rizike za sigurnost čipova i sistemi u kojima se koriste, tako da poziva da se ne uzbuđuje zbog slučaja.
Prema Intelu, do curenja je došlo zbog treće strane a ne kao rezultat kompromisa u infrastrukturi kompanije.
“Čini se da je naš vlasnički UEFI kod procurila od strane treće strane. Ne vjerujemo da će ovo otkriti nove sigurnosne propuste, jer se ne oslanjamo na prikrivanje informacija kao sigurnosnu mjeru. Ovaj kod je pokriven našim programom za nagrađivanje grešaka u okviru Project Circuit Breaker, i podstičemo svakog istraživača koji može da identifikuje potencijalne ranjivosti da nam skrene pažnju na njega kroz ovaj program. Obraćamo se i klijentima i zajednici za istraživanje sigurnosti kako bismo ih informirali o ovoj situaciji." — portparol Intela.
Kao takvo, nije precizirano ko je tačno postao izvor curenja (pošto su na primer proizvođači OEM opreme i kompanije koje razvijaju prilagođeni firmver imale pristup alatima za kompajliranje firmvera).
O slučaju, spominje se da je analiza sadržaja objavljenog fajla otkrila neke testove i servise specifične Lenovo proizvoda („Informacije o testu oznake funkcija Lenovo“, „Lenovo String Service“, „Lenovo Secure Suite“, „Lenovo Cloud Service“), ali učešće kompanije Lenovo u curenju takođe je otkrilo uslužne programe i biblioteke Insyde Software-a, koji razvija firmver za OEM proizvođače, i git dnevnik sadrži e-poštu od jedan od zaposlenih u L.C. Centar budućnosti, koja proizvodi laptopove za različite OEM proizvođače.
Prema Intelu, kod koji je ušao u otvoreni pristup ne sadrži osjetljive podatke ili komponente koje mogu doprinijeti otkrivanju novih ranjivosti. U isto vrijeme, Mark Yermolov, koji se specijalizirao za istraživanje sigurnosti Intelovih platformi, otkrio je u objavljenoj datoteci informacije o nedokumentiranim MSR logovima (dnevnici specifični za model, koji se koriste za upravljanje mikrokodovima, praćenje i otklanjanje grešaka), informacije o kojima potpadaju pod ugovor o nepovjerljivosti.
Takođe, u datoteci je pronađen privatni ključ koji se koristi za digitalno potpisivanje firmveraque potencijalno se može koristiti za zaobilaženje Intel Boot Guard zaštite (nije potvrđeno da ključ radi, možda je probni ključ.)
Također se spominje da kod koji je ušao u otvoreni pristup pokriva program Project Circuit Breaker, koji uključuje isplatu nagrada u rasponu od 500 do 100,000 dolara za identifikaciju sigurnosnih problema u firmveru i Intel proizvodima (podrazumijeva se da istraživači mogu dobiti nagrade za prijavu ranjivosti otkrivene korištenjem sadržaja curenja).
„Ovaj kod je pokriven našim programom za nagrađivanje grešaka u okviru kampanje Project Circuit Breaker, i podstičemo svakog istraživača koji može da identifikuje potencijalne ranjivosti da nam ih prijavi putem ovog programa“, dodao je Intel.
Na kraju, vrijedi spomenuti da je u vezi s curenjem podataka posljednja promjena objavljenog koda od 30. septembra 2022. godine, tako da su objavljene informacije ažurirane.