Hardwarový kód BIOSu pro procesory Intel Alder Lake byl zveřejněn na 4chan
Před pár dny na netu byly zveřejněny zprávy o úniku kódu UFEI Alder Lake od Intelu na 4chan a kopie byla později zveřejněna na GitHubu.
O případu Intel nepožádal okamžitě, ale nyní potvrdil pravost ze zdrojových kódů firmwaru UEFI a BIOSu zveřejněných neznámou osobou na GitHubu. Celkem bylo publikováno 5,8 GB kódu, utilit, dokumentace, objektů BLOB a konfigurací souvisejících s tvorbou firmwaru pro systémy s procesory založenými na mikroarchitektuře Alder Lake vydané v listopadu 2021.
Intel zmiňuje, že související soubory jsou v oběhu několik dní, a jako takové jsou zprávy potvrzeny přímo od Intelu, který uvádí, že chce upozornit na to, že záležitost nepředstavuje nová rizika pro bezpečnost čipů a systémy, ve kterých se používají, takže to vyžaduje, abyste nebyli tímto případem znepokojeni.
Podle Intelu k úniku došlo kvůli třetí straně a nikoli jako výsledek kompromisu v infrastruktuře společnosti.
„Zdá se, že náš proprietární kód UEFI unikl třetí stranou. Nevěříme, že by to odhalilo nějaké nové bezpečnostní chyby, protože nespoléháme na zamlžování informací jako na bezpečnostní opatření. Tento kód je pokryt naším programem odměn za chyby v rámci Project Circuit Breaker a doporučujeme každému výzkumníkovi, který dokáže identifikovat potenciální zranitelnosti, aby na něj upozornil prostřednictvím tohoto programu. Obracíme se na zákazníky i komunitu bezpečnostních výzkumů, abychom je o této situaci informovali.“ — mluvčí Intelu.
Jako takové není specifikováno, kdo přesně se stal zdrojem úniku (protože například výrobci OEM zařízení a společnosti vyvíjející vlastní firmware měli přístup k nástrojům pro kompilaci firmwaru).
O případu, je zmíněno, že analýza obsahu publikovaného souboru odhalila některé testy a služby konkrétní produktů Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), ale zapojení Lenovo do úniku také odhalilo nástroje a knihovny společnosti Insyde Software, která vyvíjí firmware pro OEM, a protokol git obsahuje e-mail od jeden ze zaměstnanců Centrum budoucnosti L.C, která vyrábí notebooky pro různé OEM výrobce.
Podle Intelu kód, který se dostal do otevřeného přístupu, neobsahuje citlivá data nebo komponenty, které mohou přispět k odhalení nových zranitelností. Současně Mark Yermolov, který se specializuje na výzkum bezpečnosti platforem Intel, zveřejnil ve zveřejněném souboru informace o nezdokumentovaných protokolech MSR (logy specifické pro model, používané pro správu mikrokódů, sledování a ladění), informace o kterých spadají pod dohoda o mlčenlivosti.
Navíc, v souboru byl nalezen soukromý klíč, který se používá k digitálnímu podepisování firmwaruŽe lze potenciálně použít k obejití ochrany Intel Boot Guard (Nebylo potvrzeno, že klíč funguje, může se jednat o testovací klíč.)
Je také zmíněno, že kód, který vstoupil do otevřeného přístupu, pokrývá program Project Circuit Breaker, který zahrnuje vyplácení odměn v rozmezí od 500 do 100,000 XNUMX USD za identifikaci bezpečnostních problémů ve firmwaru a produktech Intel (rozumí se, že výzkumníci mohou dostávat odměny za nahlášení zranitelnosti objevené použitím obsahu úniku).
"Tento kód je pokryt naším programem odměn za chyby v rámci kampaně Project Circuit Breaker a doporučujeme každému výzkumníkovi, který dokáže identifikovat potenciální zranitelnosti, aby nám je prostřednictvím tohoto programu nahlásil," dodal Intel.
Na závěr se sluší zmínit, že ohledně úniku dat je poslední změna ve zveřejněném kódu datována 30. září 2022, takže zveřejněné informace jsou aktualizovány.