Codul hardware BIOS pentru procesoarele Intel Alder Lake a fost postat pe 4chan
Acum cateva zile pe net știrile despre scurgerea codului UFEI Alder Lake fuseseră făcute publice de la Intel pe 4chan și o copie a fost publicată ulterior pe GitHub.
Despre caz Intel, nu sa aplicat instantaneu, dar acum a confirmat autenticitatea din codurile sursă firmware UEFI și BIOS postate de o persoană necunoscută pe GitHub. În total, 5,8 GB de cod, utilități, documentație, blob-uri și configurații legate de formarea firmware-ului au fost publicate pentru sistemele cu procesoare bazate pe microarhitectura Alder Lake, lansată în noiembrie 2021.
Intel menționează că fișierele aferente sunt în circulație de câteva zile și ca atare vestea este confirmată direct de la Intel, care menționează că dorește să sublinieze că problema nu implică noi riscuri pentru securitatea cipurilor și a sistemele în care sunt utilizate, deci se cere să nu se alarmeze cu privire la caz.
Potrivit Intel, scurgerea a avut loc din cauza unei terțe părți și nu ca urmare a unui compromis în infrastructura companiei.
„Codul nostru UEFI proprietar pare să fi fost scurs de o terță parte. Nu credem că acest lucru va expune noi vulnerabilități de securitate, deoarece nu ne bazăm pe ofuscarea informațiilor ca măsură de securitate. Acest cod este acoperit de programul nostru de recompensă pentru erori din Project Circuit Breaker și încurajăm orice cercetător care poate identifica potențiale vulnerabilități să ne aducă atenția prin intermediul acestui program. Luăm legătura atât cu clienții, cât și cu comunitatea de cercetare în domeniul securității pentru a-i ține informați despre această situație.” — Purtătorul de cuvânt al Intel.
Ca atare, nu este specificat cine a devenit exact sursa scurgerii (deoarece, de exemplu, producătorii de echipamente OEM și companiile care dezvoltau firmware personalizat au avut acces la instrumentele pentru compilarea firmware-ului).
Despre caz, se menționează că analiza conținutului dosarului publicat a scos la iveală unele teste și servicii specific a produselor Lenovo („Lenovo Feature Tag Test Information”, „Lenovo String Service”, „Lenovo Secure Suite”, „Lenovo Cloud Service”), dar implicarea Lenovo în scurgere a dezvăluit și utilități și biblioteci de la Insyde Software, care dezvoltă firmware pentru OEM, și jurnalul git conține un e-mail de la unul dintre angajatii ai Centrul Viitorului LC, care produce laptopuri pentru diverși OEM.
Potrivit Intel, codul care a intrat în acces deschis nu conține date sensibile sau componente care pot contribui la dezvăluirea de noi vulnerabilități. În același timp, Mark Yermolov, care este specializat în cercetarea securității platformelor Intel, a dezvăluit în fișierul publicat informații despre jurnale MSR nedocumentate (jurnale specifice modelului, utilizate pentru gestionarea microcodurilor, urmărire și depanare), informații despre care se încadrează un acord de neconfidenţialitate.
În plus, în fișier a fost găsită o cheie privată, care este folosită pentru a semna digital firmware-ulCă poate fi utilizat pentru a ocoli protecția Intel Boot Guard (Cheia nu a fost confirmată să funcționeze, poate fi o cheie de testare.)
Se mai menționează că codul care a intrat în acces deschis acoperă programul Project Circuit Breaker, care presupune plata recompenselor cuprinse între 500 USD și 100,000 USD pentru identificarea problemelor de securitate în firmware și produsele Intel (se înțelege că cercetătorii pot primi recompense pentru raportare). vulnerabilități descoperite prin utilizarea conținutului scurgerii).
„Acest cod este acoperit de programul nostru de recompensă pentru erori în cadrul campaniei Project Circuit Breaker și încurajăm orice cercetător care poate identifica potențiale vulnerabilități să ni le raporteze prin intermediul acestui program”, a adăugat Intel.
În sfârșit, este de menționat că în ceea ce privește scurgerea de date, cea mai recentă modificare a codului publicat este datată 30 septembrie 2022, astfel că informațiile lansate sunt actualizate.