BIOS-maskinvarekode for Intel Alder Lake-prosessorer ble lagt ut på 4chan
For noen dager siden på nettet nyheten om Alder Lake UFEI-kodelekkasjen hadde blitt sluppet fra Intel på 4chan og en kopi ble senere publisert på GitHub.
Om saken Intel, søkte ikke umiddelbart, men har nå bekreftet ektheten fra UEFI- og BIOS-fastvarekildekoder lagt ut av en ukjent person på GitHub. Totalt er det publisert 5,8 GB kode, verktøy, dokumentasjon, blobs og konfigurasjoner knyttet til dannelsen av fastvare for systemer med prosessorer basert på Alder Lake-mikroarkitekturen, utgitt i november 2021.
Intel nevner at de relaterte filene har vært i sirkulasjon i noen dager og som sådan bekreftes nyheten direkte fra Intel, som nevner at de ønsker å påpeke at saken ikke innebærer nye risikoer for sikkerheten til brikkene og systemer som brukes, så det krever ikke å bli skremt om saken.
Ifølge Intel oppsto lekkasjen på grunn av en tredjepart og ikke som følge av et kompromiss i selskapets infrastruktur.
«Vår proprietære UEFI-kode ser ut til å ha blitt lekket av en tredjepart. Vi tror ikke dette vil avsløre noen nye sikkerhetssårbarheter, siden vi ikke er avhengig av informasjonsforvirring som et sikkerhetstiltak. Denne koden dekkes av vårt bug bounty-program i Project Circuit Breaker, og vi oppfordrer alle forskere som kan identifisere potensielle sårbarheter til å gjøre oss oppmerksom på det gjennom dette programmet. Vi kontakter både kunder og sikkerhetsforskningsmiljøet for å holde dem informert om denne situasjonen." – Talsperson for Intel.
Som sådan er det ikke spesifisert hvem som var kilden til lekkasjen (siden for eksempel OEM-utstyrsprodusenter og selskaper som utvikler tilpasset firmware hadde tilgang til verktøyene for å kompilere fastvaren).
Om saken, nevnes det at analysen av innholdet i den publiserte filen avdekket noen tester og tjenester spesifikke av Lenovo-produkter ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), men Lenovos involvering i lekkasjen avslørte også verktøy og biblioteker fra Insyde Software, som utvikler fastvare for OEM-er, og git-loggen inneholder en e-post fra en av de ansatte i L.C. Future Center, som produserer bærbare datamaskiner for ulike OEM-er.
Ifølge Intel inneholder ikke koden som gikk inn i åpen tilgang sensitive data eller komponenter som kan bidra til avsløring av nye sårbarheter. Samtidig avslørte Mark Yermolov, som spesialiserer seg på å forske på sikkerheten til Intel-plattformer, i den publiserte filen informasjon om udokumenterte MSR-logger (modellspesifikke logger, brukt til mikrokodehåndtering, sporing og feilsøking), informasjon om hvilke som faller inn under en avtale om ikke-konfidensialitet.
Videre Det ble funnet en privat nøkkel i filen, som brukes til å signere fastvaren digitaltAt kan potensielt brukes til å omgå Intel Boot Guard-beskyttelse (Nøkkelen har ikke blitt bekreftet å fungere, det kan være en testnøkkel.)
Det nevnes også at koden som gikk inn i åpen tilgang dekker Project Circuit Breaker-programmet, som innebærer utbetaling av belønninger fra $500 til $100,000 for å identifisere sikkerhetsproblemer i fastvare og Intel-produkter (det er forstått at forskere kan motta belønninger for å rapportere sårbarheter oppdaget ved bruk av innholdet i lekkasjen).
"Denne koden dekkes av vårt bug bounty-program i Project Circuit Breaker-kampanjen, og vi oppfordrer alle forskere som kan identifisere potensielle sårbarheter til å rapportere dem til oss gjennom dette programmet," la Intel til.
Til slutt er det verdt å nevne at angående datalekkasjen er den siste endringen i den publiserte koden datert 30. september 2022, så informasjonen som er utgitt er oppdatert.