Le code matériel du BIOS pour les processeurs Intel Alder Lake a été publié sur 4chan
Il y a quelques jours sur le net la nouvelle de la fuite du code UFEI d'Alder Lake a été publiée d'Intel sur 4chan et une copie a ensuite été publiée sur GitHub.
À propos de l'affaire Intel, n'a pas postulé instantanément, mais a maintenant confirmé l'authenticité à partir des codes sources du micrologiciel UEFI et BIOS publiés par une personne inconnue sur GitHub. Au total, 5,8 Go de code, d'utilitaires, de documentation, de blobs et de configurations liés à la formation de micrologiciels ont été publiés pour les systèmes dotés de processeurs basés sur la microarchitecture Alder Lake, sortis en novembre 2021.
Intel mentionne que les fichiers y afférents circulent depuis quelques jours et, à ce titre, la nouvelle est confirmée directement par Intel, qui mentionne qu'il tient à souligner que l'affaire n'implique pas de nouveaux risques pour la sécurité des puces et la systèmes dans lesquels sont utilisés, il faut donc ne pas s'alarmer de l'affaire.
Selon Intel, la fuite s'est produite à cause d'un tiers et non à la suite d'un compromis dans l'infrastructure de l'entreprise.
"Notre code UEFI propriétaire semble avoir été divulgué par un tiers. Nous ne pensons pas que cela exposera de nouvelles vulnérabilités de sécurité, car nous ne nous appuyons pas sur l'obscurcissement des informations comme mesure de sécurité. Ce code est couvert par notre programme de primes de bogues au sein de Project Circuit Breaker, et nous encourageons tout chercheur capable d'identifier des vulnérabilités potentielles à le porter à notre attention via ce programme. Nous contactons à la fois les clients et la communauté des chercheurs en sécurité pour les tenir informés de cette situation." — Porte-parole d'Intel.
En tant que tel, il n'est pas précisé qui est exactement devenu la source de la fuite (puisque, par exemple, les fabricants d'équipements OEM et les sociétés développant des micrologiciels personnalisés avaient accès aux outils pour compiler le micrologiciel).
À propos de l'affaire, il est mentionné que l'analyse du contenu du dossier publié a révélé certains tests et services spécifique des produits Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), mais l'implication de Lenovo dans la fuite a également révélé des utilitaires et des bibliothèques d'Insyde Software, qui développe des micrologiciels pour les OEM, et le journal git contient un e-mail de l'un des employés de Centre du futur LC, qui produit des ordinateurs portables pour divers équipementiers.
Selon Intel, le code passé en libre accès ne contient pas de données sensibles ou des composants susceptibles de contribuer à la divulgation de nouvelles vulnérabilités. Dans le même temps, Mark Yermolov, spécialisé dans la recherche sur la sécurité des plates-formes Intel, a divulgué dans le fichier publié des informations sur les journaux MSR non documentés (journaux spécifiques au modèle, utilisés pour la gestion, le suivi et le débogage des microcodes), des informations sur lesquelles relève un accord de non-confidentialité.
En outre, une clé privée a été trouvée dans le fichier, qui est utilisée pour signer numériquement le firmware, qui peut potentiellement être utilisé pour contourner la protection Intel Boot Guard (Le fonctionnement de la clé n'a pas été confirmé, il peut s'agir d'une clé de test.)
Il est également mentionné que le code qui est entré en libre accès couvre le programme Project Circuit Breaker, qui implique le paiement de récompenses allant de 500 $ à 100,000 XNUMX $ pour identifier les problèmes de sécurité dans les micrologiciels et les produits Intel (il est entendu que les chercheurs peuvent recevoir des récompenses pour signaler vulnérabilités découvertes en utilisant le contenu de la fuite).
"Ce code est couvert par notre programme de primes de bogues dans le cadre de la campagne Project Circuit Breaker, et nous encourageons tout chercheur capable d'identifier des vulnérabilités potentielles à nous les signaler via ce programme", a ajouté Intel.
Enfin, il convient de mentionner qu'en ce qui concerne la fuite de données, la modification la plus récente du code publié est datée du 30 septembre 2022, les informations publiées sont donc mises à jour.