קוד חומרת BIOS עבור מעבדי Intel Alder Lake פורסם ב-4chan
לפני כמה ימים ברשת החדשות על דליפת הקוד של Alder Lake UFEI פורסמו מאת אינטל ב-4chan ועותק פורסם מאוחר יותר ב-GitHub.
על המקרה אינטל, לא החלה באופן מיידי, אך כעת אישרה את האותנטיות מקודי המקור של קושחת UEFI ו-BIOS שפורסמו על ידי אדם לא ידוע ב-GitHub. בסך הכל, פורסמו 5,8 ג'יגה-בייט של קוד, כלי עזר, תיעוד, בלובים ותצורות הקשורות להיווצרות קושחה עבור מערכות עם מעבדים המבוססים על מיקרו-ארכיטקטורת Alder Lake, שפורסמה בנובמבר 2021.
אינטל מציינת כי הקבצים הקשורים נמצאים במחזור כבר כמה ימים וככזה החדשות מאושרות ישירות מאינטל, אשר מזכירה כי היא מבקשת לציין כי אין בעניין כרוך סיכונים חדשים לאבטחת השבבים וה- מערכות שבהן נעשה שימוש, ולכן זה קורא לא להיבהל מהמקרה.
לפי אינטל, הדליפה התרחשה בגלל צד שלישי ולא כתוצאה מפשרה בתשתית החברה.
"נראה שקוד ה-UEFI הקנייני שלנו הודלף על ידי צד שלישי. אנחנו לא מאמינים שזה יחשוף פרצות אבטחה חדשות, מכיוון שאיננו מסתמכים על ערפול מידע כאמצעי אבטחה. קוד זה מכוסה על ידי תוכנית הבאונטי שלנו בתוך Project Circuit Breaker, ואנו מעודדים כל חוקר שיכול לזהות נקודות תורפה אפשריות להביא אותו לידיעתנו באמצעות תוכנית זו. אנו פונים הן ללקוחות והן לקהילת מחקרי האבטחה כדי לעדכן אותם על המצב הזה". - דובר אינטל.
ככזה לא מצוין מי בדיוק הפך למקור הדליפה (שכן למשל ליצרני ציוד OEM ולחברות המפתחות קושחה מותאמת הייתה גישה לכלים להידור הקושחה).
על המקרה, מוזכר כי ניתוח תוכן הקובץ שפורסם העלה כמה בדיקות ושירותים ספציפי של מוצרי לנובו ("מידע על בדיקת תג תכונות של לנובו", "שירות מחרוזות של לנובו", "חבילת Lenovo Secure", "שירות ענן של Lenovo"), אך מעורבותה של לנובו בהדלפה חשפה גם כלי עזר וספריות של Insyde Software, המפתחת קושחה עבור יצרני OEM, ו יומן ה-git מכיל אימייל מאת אחד מעובדי מרכז העתיד של LC, המייצרת מחשבים ניידים עבור יצרני OEM שונים.
לפי אינטל, הקוד שנכנס לגישה פתוחה אינו מכיל נתונים רגישים או רכיבים שעשויים לתרום לחשיפת נקודות תורפה חדשות. במקביל, מארק ירמולוב, המתמחה בחקר האבטחה של פלטפורמות אינטל, חשף בקובץ שפורסם מידע על יומני MSR לא מתועדים (לוגים ספציפיים לדגם, המשמשים לניהול מיקרוקוד, מעקב וניפוי באגים), מידע שעליו נופל תחת הסכם אי סודיות.
בנוסף, נמצא מפתח פרטי בקובץ, המשמש לחתימה דיגיטלית על הקושחהכי יכול לשמש כדי לעקוף את הגנת Intel Boot Guard (המפתח לא אושר לעבוד, יכול להיות שזה מפתח בדיקה.)
כמו כן, מוזכר כי הקוד שנכנס לגישה פתוחה מכסה את תוכנית Project Circuit Breaker, הכוללת תשלום תגמולים הנעים בין 500 ל-100,000 דולר עבור זיהוי בעיות אבטחה בקושחה ובמוצרי אינטל (מובן שחוקרים יכולים לקבל תגמולים לדיווח נקודות תורפה שהתגלו באמצעות תוכן ההדלפה).
"קוד זה מכוסה על ידי תוכנית הבאגים שלנו במסגרת מסע הפרסום של Project Circuit Breaker, ואנו מעודדים כל חוקר שיכול לזהות נקודות תורפה פוטנציאליות לדווח לנו עליהן באמצעות תוכנית זו", הוסיפה אינטל.
לסיום, ראוי להזכיר שלגבי דליפת הנתונים, השינוי האחרון בקוד שפורסם הוא 30 בספטמבר 2022, כך שהמידע שפורסם מתעדכן.