BIOS-hardwarekode til Intel Alder Lake-processorer blev udgivet på 4chan
For et par dage siden på nettet nyheden om Alder Lake UFEI-kodelækage var blevet frigivet fra Intel på 4chan og en kopi blev senere udgivet på GitHub.
Om sagen Intel, ansøgte ikke med det samme, men har nu bekræftet ægtheden fra UEFI- og BIOS-firmware-kildekoder, der er indsendt af en ukendt person på GitHub. I alt er der udgivet 5,8 GB kode, hjælpeprogrammer, dokumentation, blobs og konfigurationer relateret til dannelsen af firmware til systemer med processorer baseret på Alder Lakes mikroarkitektur, udgivet i november 2021.
Intel nævner, at de relaterede filer har været i omløb i nogle dage, og som sådan bliver nyheden bekræftet direkte fra Intel, som nævner, at man ønsker at påpege, at sagen ikke indebærer nye risici for sikkerheden af chips og systemer, der bruges i, så det kræver ikke at blive alarmeret over sagen.
Ifølge Intel opstod lækagen på grund af en tredjepart og ikke som følge af et kompromis i virksomhedens infrastruktur.
"Vores proprietære UEFI-kode ser ud til at være blevet lækket af en tredjepart. Vi tror ikke, at dette vil afsløre nye sikkerhedssårbarheder, da vi ikke er afhængige af sløring af oplysninger som en sikkerhedsforanstaltning. Denne kode er dækket af vores bug bounty-program i Project Circuit Breaker, og vi opfordrer enhver forsker, der kan identificere potentielle sårbarheder, til at gøre os opmærksom på det gennem dette program. Vi kontakter både kunder og sikkerhedsforskningsmiljøet for at holde dem informeret om denne situation." - Intel talsmand.
Som sådan er det ikke specificeret, hvem der præcist var kilden til lækagen (da f.eks. OEM-udstyrsproducenter og virksomheder, der udvikler tilpasset firmware, havde adgang til værktøjerne til at kompilere firmwaren).
Om sagen, nævnes det, at analysen af indholdet af den offentliggjorte fil afslørede nogle tests og tjenester specifik af Lenovo-produkter ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), men Lenovos involvering i lækagen afslørede også hjælpeprogrammer og biblioteker fra Insyde Software, som udvikler firmware til OEM'er, og git-loggen indeholder en e-mail fra en af medarbejderne i LC Fremtidscenter, som producerer bærbare computere til forskellige OEM'er.
Ifølge Intel indeholder koden, der gik ind i open access, ikke følsomme data eller komponenter, der kan bidrage til afsløringen af nye sårbarheder. Samtidig afslørede Mark Yermolov, som har specialiseret sig i at forske i sikkerheden på Intel-platforme, i den offentliggjorte fil oplysninger om udokumenterede MSR-logfiler (modelspecifikke logfiler, brugt til mikrokodestyring, sporing og fejlretning), information om hvilke der falder ind under en aftale om tavshedspligt.
Derudover der blev fundet en privat nøgle i filen, som bruges til digitalt at signere firmwarenDet kan potentielt bruges til at omgå Intel Boot Guard-beskyttelse (Nøglen er ikke blevet bekræftet til at virke, det kan være en testnøgle.)
Det nævnes også, at koden, der gik ind i open access, dækker Project Circuit Breaker-programmet, som involverer udbetaling af belønninger fra $500 til $100,000 for at identificere sikkerhedsproblemer i firmware og Intel-produkter (det er underforstået, at forskere kan modtage belønninger for at rapportere sårbarheder opdaget ved at bruge indholdet af lækagen).
"Denne kode er dækket af vores bug bounty-program inden for Project Circuit Breaker-kampagnen, og vi opfordrer enhver forsker, der kan identificere potentielle sårbarheder, til at rapportere dem til os gennem dette program," tilføjede Intel.
Til sidst er det værd at nævne, at vedrørende datalækket er den seneste ændring i den offentliggjorte kode dateret 30. september 2022, så de frigivne oplysninger er opdateret.