O código de hardware do BIOS para processadores Intel Alder Lake foi postado no 4chan
Alguns dias atrás na rede a notícia sobre o vazamento do código Alder Lake UFEI havia sido divulgada da Intel no 4chan e uma cópia foi posteriormente publicada no GitHub.
Sobre o caso Intel, não se inscreveu instantaneamente, mas agora confirmou a autenticidade de códigos-fonte de firmware UEFI e BIOS postados por uma pessoa desconhecida no GitHub. No total, foram publicados 5,8 GB de código, utilitários, documentação, blobs e configurações relacionadas à formação de firmware para sistemas com processadores baseados na microarquitetura Alder Lake, lançado em novembro de 2021.
A Intel menciona que os arquivos relacionados estão em circulação há alguns dias e como tal a notícia está sendo confirmada diretamente pela Intel, que menciona que deseja salientar que o assunto não implica novos riscos para a segurança dos chips e sistemas em que são utilizados, por isso exige não se alarmar com o caso.
Segundo a Intel, o vazamento ocorreu por causa de um terceiro e não como resultado de um comprometimento na infraestrutura da empresa.
“Nosso código UEFI proprietário parece ter sido vazado por terceiros. Não acreditamos que isso exponha novas vulnerabilidades de segurança, pois não contamos com a ofuscação de informações como medida de segurança. Este código é coberto por nosso programa de recompensas de bugs dentro do Project Circuit Breaker, e nós encorajamos qualquer pesquisador que possa identificar vulnerabilidades potenciais a nos chamar a atenção por meio deste programa. Estamos entrando em contato com os clientes e a comunidade de pesquisa de segurança para mantê-los informados sobre essa situação." — porta-voz da Intel.
Como tal, não é especificado quem exatamente se tornou a fonte do vazamento (já que, por exemplo, fabricantes de equipamentos OEM e empresas que desenvolvem firmware personalizado tiveram acesso às ferramentas para compilar o firmware).
Sobre o caso, menciona-se que a análise do conteúdo do arquivo publicado revelou alguns testes e serviços específico de produtos Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), mas o envolvimento da Lenovo no vazamento também revelou utilitários e bibliotecas da Insyde Software, que desenvolve firmware para OEMs, e o git log contém um email de um dos funcionários da Centro do Futuro LC, que produz laptops para vários OEMs.
Segundo a Intel, o código que entrou em acesso aberto não contém dados confidenciais ou componentes que possam contribuir para a divulgação de novas vulnerabilidades. Ao mesmo tempo, Mark Yermolov, especialista em pesquisar a segurança de plataformas Intel, divulgou no arquivo publicado informações sobre logs MSR não documentados (logs específicos do modelo, usados para gerenciamento de microcódigo, rastreamento e depuração), informações sobre as quais se enquadram um acordo de não confidencialidade.
Além disso, uma chave privada foi encontrada no arquivo, que é usada para assinar digitalmente o firmwareo que pode potencialmente ser usado para ignorar a proteção Intel Boot Guard (A chave não foi confirmada para funcionar, pode ser uma chave de teste.)
Também é mencionado que o código que entrou em acesso aberto abrange o programa Project Circuit Breaker, que envolve o pagamento de recompensas que variam de US$ 500 a US$ 100,000 para identificar problemas de segurança em firmware e produtos Intel (entenda-se que pesquisadores podem receber recompensas para relatar vulnerabilidades descobertas usando o conteúdo do vazamento).
“Este código é coberto por nosso programa de recompensas de bugs dentro da campanha Project Circuit Breaker, e encorajamos qualquer pesquisador que possa identificar vulnerabilidades potenciais a denunciá-las por meio deste programa”, acrescentou a Intel.
Por fim, vale ressaltar que em relação ao vazamento de dados, a alteração mais recente no código publicado é datada de 30 de setembro de 2022, portanto, as informações divulgadas são atualizadas.