Ο κώδικας υλικού BIOS για επεξεργαστές Intel Alder Lake δημοσιεύτηκε στο 4chan
Πριν λίγες μέρες στο διαδίκτυο η είδηση για τη διαρροή κωδικού UFEI της λίμνης Alder Lake είχε δημοσιοποιηθεί από την Intel στο 4chan και ένα αντίγραφο δημοσιεύτηκε αργότερα στο GitHub.
Σχετικά με την υπόθεση Η Intel, δεν εφαρμόστηκε άμεσα, αλλά τώρα έχει επιβεβαιώσει την αυθεντικότητα από πηγαίους κωδικούς υλικολογισμικού UEFI και BIOS που δημοσιεύτηκαν από άγνωστο άτομο στο GitHub. Συνολικά, έχουν δημοσιευτεί 5,8 GB κώδικα, βοηθητικά προγράμματα, τεκμηρίωση, blobs και διαμορφώσεις που σχετίζονται με το σχηματισμό υλικολογισμικού για συστήματα με επεξεργαστές που βασίζονται στη μικροαρχιτεκτονική της λίμνης Alder, που κυκλοφόρησε τον Νοέμβριο του 2021.
Η Intel αναφέρει ότι τα σχετικά αρχεία κυκλοφορούν εδώ και μερικές ημέρες και ως εκ τούτου η είδηση επιβεβαιώνεται απευθείας από την Intel, η οποία αναφέρει ότι επιθυμεί να επισημάνει ότι το θέμα δεν συνεπάγεται νέους κινδύνους για την ασφάλεια των chip και του συστήματα στα οποία χρησιμοποιούνται, επομένως απαιτεί να μην ανησυχούμε για την υπόθεση.
Σύμφωνα με την Intel, η διαρροή έγινε λόγω τρίτου μέρους και όχι ως αποτέλεσμα συμβιβασμού στις υποδομές της εταιρείας.
«Ο αποκλειστικός μας κωδικός UEFI φαίνεται να έχει διαρρεύσει από τρίτο μέρος. Δεν πιστεύουμε ότι αυτό θα αποκαλύψει τυχόν νέα τρωτά σημεία ασφαλείας, καθώς δεν βασιζόμαστε στη συσκότιση πληροφοριών ως μέτρο ασφαλείας. Αυτός ο κώδικας καλύπτεται από το πρόγραμμα επιβράβευσης σφαλμάτων στο Project Circuit Breaker και ενθαρρύνουμε κάθε ερευνητή που μπορεί να εντοπίσει πιθανές ευπάθειες να τον φέρει υπόψη μας μέσω αυτού του προγράμματος. Απευθυνόμαστε τόσο στους πελάτες όσο και στην ερευνητική κοινότητα ασφάλειας για να τους κρατήσουμε ενήμερους για αυτήν την κατάσταση». — Εκπρόσωπος της Intel.
Ως εκ τούτου, δεν διευκρινίζεται ποια ακριβώς έγινε η πηγή της διαρροής (καθώς για παράδειγμα κατασκευαστές εξοπλισμού OEM και εταιρείες που αναπτύσσουν προσαρμοσμένο υλικολογισμικό είχαν πρόσβαση στα εργαλεία για τη μεταγλώττιση του υλικολογισμικού).
Σχετικά με την υπόθεση, αναφέρεται ότι από την ανάλυση του περιεχομένου του δημοσιευμένου αρχείου προέκυψαν κάποιες δοκιμές και υπηρεσίες συγκεκριμένα των προϊόντων Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), αλλά η εμπλοκή της Lenovo στη διαρροή αποκάλυψε επίσης βοηθητικά προγράμματα και βιβλιοθήκες από το Insyde Software, το οποίο αναπτύσσει υλικολογισμικό για OEM, και το αρχείο καταγραφής git περιέχει ένα email από ένας από τους υπαλλήλους του L.C. Future Center, η οποία παράγει φορητούς υπολογιστές για διάφορους OEM.
Σύμφωνα με την Intel, ο κώδικας που μπήκε σε ανοιχτή πρόσβαση δεν περιέχει ευαίσθητα δεδομένα ή στοιχεία που μπορεί να συμβάλλουν στην αποκάλυψη νέων τρωτών σημείων. Ταυτόχρονα, ο Mark Yermolov, ο οποίος ειδικεύεται στην έρευνα για την ασφάλεια των πλατφορμών της Intel, αποκάλυψε στο δημοσιευμένο αρχείο πληροφορίες σχετικά με μη τεκμηριωμένα αρχεία καταγραφής MSR (ειδικά αρχεία καταγραφής μοντέλου, που χρησιμοποιούνται για διαχείριση μικροκώδικα, παρακολούθηση και εντοπισμό σφαλμάτων), πληροφορίες για τα οποία εμπίπτουν συμφωνία μη εμπιστευτικότητας.
Επιπλέον, Στο αρχείο βρέθηκε ένα ιδιωτικό κλειδί, το οποίο χρησιμοποιείται για την ψηφιακή υπογραφή του υλικολογισμικούΌτι μπορεί ενδεχομένως να χρησιμοποιηθεί για να παρακάμψει την προστασία Intel Boot Guard (Το κλειδί δεν έχει επιβεβαιωθεί ότι λειτουργεί, μπορεί να είναι δοκιμαστικό κλειδί.)
Αναφέρεται επίσης ότι ο κώδικας που μπήκε σε ανοιχτή πρόσβαση καλύπτει το πρόγραμμα Project Circuit Breaker, το οποίο περιλαμβάνει την πληρωμή ανταμοιβών που κυμαίνονται από $500 έως $100,000 για τον εντοπισμό προβλημάτων ασφαλείας σε υλικολογισμικό και προϊόντα Intel (εννοείται ότι οι ερευνητές μπορούν να λάβουν ανταμοιβές για να αναφέρουν ευπάθειες που ανακαλύφθηκαν χρησιμοποιώντας το περιεχόμενο της διαρροής).
"Αυτός ο κωδικός καλύπτεται από το πρόγραμμα επιβράβευσης σφαλμάτων στην καμπάνια Project Circuit Breaker και ενθαρρύνουμε κάθε ερευνητή που μπορεί να εντοπίσει πιθανές ευπάθειες να μας τις αναφέρει μέσω αυτού του προγράμματος", πρόσθεσε η Intel.
Τέλος, αξίζει να αναφέρουμε ότι σχετικά με τη διαρροή δεδομένων, η πιο πρόσφατη αλλαγή στον δημοσιευμένο κωδικό έχει ημερομηνία 30 Σεπτεμβρίου 2022, επομένως οι πληροφορίες που κυκλοφόρησαν ενημερώνονται.