Kod sprzętowy BIOS dla procesorów Intel Alder Lake został opublikowany na 4chan
Kilka dni temu w sieci pojawiła się wiadomość o wycieku kodu UFEI z Alder Lake z Intela na 4chan, a kopia została później opublikowana na GitHub.
O sprawie Firma Intel nie zastosowała się od razu, ale teraz potwierdziła autentyczność z kodów źródłowych oprogramowania układowego UEFI i BIOS opublikowanych przez nieznaną osobę na GitHub. W sumie opublikowano 5,8 GB kodu, narzędzi, dokumentacji, obiektów blob i konfiguracji związanych z tworzeniem oprogramowania układowego dla systemów z procesorami opartymi na mikroarchitekturze Alder Lake, wydanej w listopadzie 2021 roku.
Intel wspomina, że powiązane pliki były w obiegu od kilku dni i jako takie wiadomości są potwierdzane bezpośrednio od Intela, który wspomina, że pragnie podkreślić, że sprawa nie pociąga za sobą nowych zagrożeń dla bezpieczeństwa chipów i systemów, w których są używane, więc nie należy się niepokoić o sprawę.
Według Intela do wycieku doszło z winy osoby trzeciej a nie w wyniku kompromisu w infrastrukturze firmy.
„Wygląda na to, że nasz zastrzeżony kod UEFI wyciekł przez stronę trzecią. Nie wierzymy, że ujawni to jakiekolwiek nowe luki w zabezpieczeniach, ponieważ nie polegamy na zaciemnianiu informacji jako środka bezpieczeństwa. Ten kod jest objęty naszym programem nagród za błędy w ramach Project Circuit Breaker i zachęcamy każdego badacza, który może zidentyfikować potencjalne luki w zabezpieczeniach, do zwrócenia na niego uwagi za pośrednictwem tego programu. Kontaktujemy się zarówno z klientami, jak i społecznością zajmującą się badaniami bezpieczeństwa, aby informować ich o tej sytuacji”. — Rzecznik prasowy Intela.
W związku z tym nie jest określone, kto dokładnie stał się źródłem wycieku (ponieważ na przykład producenci sprzętu OEM i firmy opracowujące niestandardowe oprogramowanie układowe mieli dostęp do narzędzi do kompilacji oprogramowania układowego).
O sprawiewspomina się, że analiza zawartości opublikowanego pliku ujawniła pewne testy i usługi specyficzne produktów Lenovo („Lenovo Feature Tag Test Information”, „Lenovo String Service”, „Lenovo Secure Suite”, „Lenovo Cloud Service”), ale zaangażowanie Lenovo w wyciek ujawniło również narzędzia i biblioteki firmy Insyde Software, która opracowuje oprogramowanie układowe dla producentów OEM oraz git log zawiera e-mail od jeden z pracowników Centrum Przyszłości LC, która produkuje laptopy dla różnych producentów OEM.
Według Intela kod, który przeszedł do otwartego dostępu, nie zawiera wrażliwych danych lub składniki, które mogą przyczynić się do ujawnienia nowych luk w zabezpieczeniach. Jednocześnie Mark Yermolov, który specjalizuje się w badaniu bezpieczeństwa platform Intela, ujawnił w opublikowanym pliku informacje o nieudokumentowanych logach MSR (logi specyficzne dla modelu, wykorzystywane do zarządzania mikrokodem, śledzenia i debugowania), informacje o których umowa o zachowaniu poufności.
Ponadto, w pliku znaleziono klucz prywatny, który służy do cyfrowego podpisywania oprogramowania układowegoŻe może potencjalnie służyć do ominięcia ochrony Intel Boot Guard (Klucz nie został potwierdzony do działania, może to być klucz testowy.)
Wspomniano również, że kod, który przeszedł do otwartego dostępu, obejmuje program Project Circuit Breaker, który obejmuje wypłatę nagród w wysokości od 500 do 100,000 XNUMX USD za zidentyfikowanie problemów z bezpieczeństwem w oprogramowaniu układowym i produktach Intela (zrozumiałe jest, że badacze mogą otrzymać nagrody za zgłoszenie luki wykryte przy użyciu zawartości wycieku).
„Ten kod jest objęty naszym programem bug bounty w ramach kampanii Project Circuit Breaker i zachęcamy wszystkich badaczy, którzy potrafią zidentyfikować potencjalne luki w zabezpieczeniach, do zgłaszania ich nam za pośrednictwem tego programu” — dodał Intel.
Na koniec warto wspomnieć, że w odniesieniu do wycieku danych najnowsza zmiana w opublikowanym kodzie datowana jest na 30 września 2022 r., więc opublikowane informacje są aktualizowane.