El codi de maquinari BIOS per als processadors Intel Alder Lake va ser publicat a 4chan
Fa pocs dies a la xarxa s'havia donat a conèixer la notícia sobre la filtració del codi UFEI d'Alder Lake d'Intel a 4chan i que posteriorment es va publicar una còpia a GitHub.
Sobre el cas Intel, no es va postular a l'instant, però ara ja ha confirmat l'autenticitat dels codis font del microprogramari UEFI i BIOS publicats per una persona desconeguda a GitHub. En total, es van publicar 5,8 GB de codi, utilitats, documentació, blobs i configuracions relacionades amb la formació de firmware per a sistemes amb processadors basats a la microarquitectura Alder Lake, llançats el novembre de 2021.
Intel esmenta que els arxius relacionats estan en circulació des de fa uns dies i com a tal la notícia està sent confirmada directament d'Intel, que esmenta que vol assenyalar que l'assumpte no implica nous riscos per a la seguretat dels xips i dels sistemes en què s'utilitzen, per la qual cosa fa una crida a no alarmar-se sobre el cas.
Segons Intel, la filtració va passar per culpa d'un tercer i no com a resultat d'un compromís a la infraestructura de l'empresa.
«El nostre codi UEFI patentat sembla haver estat filtrat per un tercer. No creiem que això exposi noves vulnerabilitats de seguretat, ja que no confiem en l'ofuscació de la informació com a mesura de seguretat. Aquest codi està cobert pel nostre programa de recompenses per errors dins del Project Circuit Breaker, i encoratgem qualsevol investigador que pugui identificar vulnerabilitats potencials a cridar la nostra atenció a través d'aquest programa. Ens estem acostant tant als clients com a la comunitat de recerca de seguretat per mantenir-los informats sobre aquesta situació». - Portaveu d'Intel.
Com a tal no s'especifica qui es va convertir exactament en la font de la fugida (ja que per exemple els fabricants d'equips OEM i les empreses que desenvolupen firmware personalitzat tenien accés a les eines per compilar el firmware).
Sobre el cas, s'esmenta que l'anàlisi del contingut de l'arxiu publicat va revelar algunes proves i serveis específics dels productes Lenovo (Lenovo Feature Tag Test Information, Lenovo String Service, Lenovo Secure Suite, Lenovo Cloud Service), però la participació de Lenovo en la fuga d'informació també va revelar utilitats i biblioteques d'Insyde Software, que desenvolupa firmware per a OEM, i el registre de git conté un correu electrònic de un dels empleats de LC Future Center, que produeix ordinadors portàtils per a diversos OEM.
Segons Intel, el codi que va entrar en accés obert no conté dades confidencials ni components que puguin contribuir a la revelació de noves vulnerabilitats. Alhora, Mark Yermolov, que s'especialitza en investigar la seguretat de les plataformes Intel, va revelar a l'arxiu publicat informació sobre registres MSR no documentats (registres específics del model, utilitzats per a la gestió, rastreig i depuració de microcodis), informació sobre la qual cau sota un no-acord de confidencialitat.
A més, es va trobar una clau privada a l'arxiu, que es fa servir per signar digitalment el microprogramari, que potencialment es pot fer servir per eludir la protecció Intel Boot Guard (no s'ha confirmat el funcionament de la clau, és possible que sigui una clau de prova).
També s'esmenta que el codi que va entrar en accés obert cobreix el programa Project Circuit Breaker, cosa que implica el pagament de recompenses que van des de $500 fins a $100,000 per identificar problemes de seguretat en microprogramari i productes Intel (s'entén que els investigadors poden rebre recompenses per informar sobre vulnerabilitats descobertes mitjançant l'ús dels continguts de la fugida).
"Aquest codi està cobert pel nostre programa de recompenses per errors dins de la campanya Project Circuit Breaker, i encoratgem qualsevol investigador que pugui identificar vulnerabilitats potencials que ens les comuniqui a través d'aquest programa", va afegir Intel.
Finalment cal esmentar que sobre la filtració de les dades el canvi més recent al codi publicat té data del 30 de setembre de 2022, per la qual cosa la informació donada a conèixer és actualitzada.