BIOS hardverski kod za Intel Alder Lake procesore objavljen je na 4chan
Prije par dana na netu objavljena je vijest o curenju koda Alder Lake UFEI od Intela na 4chanu, a kopija je kasnije objavljena na GitHubu.
O slučaju Intel se nije odmah prijavio, ali je sada potvrdio autentičnost iz izvornih kodova firmvera UEFI i BIOS koje je objavila nepoznata osoba na GitHubu. Ukupno je objavljeno 5,8 GB koda, uslužnih programa, dokumentacije, blobova i konfiguracija povezanih s formiranjem firmvera za sustave s procesorima koji se temelje na mikroarhitekturi Alder Lake, objavljenoj u studenom 2021.
Intel napominje da su povezane datoteke u optjecaju nekoliko dana i kao takvu vijest potvrđuje izravno Intel, koji napominje da želi istaknuti da stvar ne podrazumijeva nove rizike za sigurnost čipova i sustava u kojima se koriste, pa poziva da se ne uznemiruje slučaj.
Prema Intelu, do curenja je došlo zbog treće strane a ne kao rezultat kompromisa u infrastrukturi poduzeća.
“Čini se da je treća strana procurila naš vlasnički UEFI kod. Ne vjerujemo da će ovo razotkriti nove sigurnosne propuste jer se ne oslanjamo na prikrivanje informacija kao sigurnosnu mjeru. Ovaj kod je pokriven našim programom dodjele grešaka unutar Project Circuit Breaker i potičemo sve istraživače koji mogu identificirati potencijalne ranjivosti da nam skrenu pozornost na to kroz ovaj program. Obraćamo se i klijentima i zajednici za istraživanje sigurnosti kako bismo ih informirali o ovoj situaciji." — Intelov glasnogovornik.
Kao takvo, nije specificirano tko je točno postao izvor curenja (jer su na primjer proizvođači OEM opreme i tvrtke koje razvijaju prilagođeni firmware imali pristup alatima za kompajliranje firmwarea).
O slučaju, spominje se da su analizom sadržaja objavljene datoteke otkriveni neki testovi i usluge specifična Lenovo proizvoda ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), ali sudjelovanje Lenova u curenju također je otkrilo uslužne programe i biblioteke iz Insyde Softwarea, koji razvija firmware za OEM proizvođače, i git log sadrži e-poštu od jedan od zaposlenika Centar budućnosti LC, koja proizvodi prijenosna računala za razne OEM proizvođače.
Prema Intelu, kod koji je otišao u otvoreni pristup ne sadrži osjetljive podatke ili komponente koje mogu pridonijeti otkrivanju novih ranjivosti. Istodobno, Mark Yermolov, koji se specijalizirao za istraživanje sigurnosti Intelovih platformi, otkrio je u objavljenoj datoteci podatke o nedokumentiranim MSR zapisima (zapisnici specifični za model, koji se koriste za upravljanje mikrokodom, praćenje i otklanjanje pogrešaka), podaci o kojima spadaju pod ugovor o nepovjerljivosti.
Osim toga, u datoteci je pronađen privatni ključ koji se koristi za digitalno potpisivanje firmveraDa potencijalno se može koristiti za zaobilaženje zaštite Intel Boot Guard (Nije potvrđeno da ključ radi, možda je testni ključ.)
Također se spominje da kod koji je otišao u otvoreni pristup pokriva program Project Circuit Breaker, koji uključuje isplatu nagrada u rasponu od 500 do 100,000 dolara za identificiranje sigurnosnih problema u firmveru i Intelovim proizvodima (podrazumijeva se da istraživači mogu dobiti nagrade za prijavu ranjivosti otkrivene korištenjem sadržaja curenja).
"Ovaj kod je pokriven našim programom dodjele grešaka unutar kampanje Project Circuit Breaker i potičemo sve istraživače koji mogu identificirati potencijalne ranjivosti da nam ih prijave putem ovog programa", dodao je Intel.
Na kraju, vrijedno je spomenuti da je u vezi s curenjem podataka posljednja promjena u objavljenom kodu datirana 30. rujna 2022., tako da su objavljene informacije ažurirane.