Несколько дней назад в сети появилась новость об утечке кода UFEI в Alder Lake от Intel на 4chan, а копия позже была опубликована на GitHub.
О деле Интел не подал заявку мгновенно, но теперь подтвердил подлинность из исходных кодов прошивок UEFI и BIOS, размещенных неизвестным лицом на GitHub. Всего для систем с процессорами на базе микроархитектуры Alder Lake, выпущенных в ноябре 5,8 года, опубликовано 2021 ГБ кода, утилит, документации, блобов и конфигураций, связанных с формированием прошивок.
Intel упоминает, что соответствующие файлы находятся в обращении в течение нескольких дней, и поэтому новости подтверждаются непосредственно Intel, которая упоминает, что хочет указать, что этот вопрос не создает новых рисков для безопасности чипов и системы, в которых используются, поэтому он призывает не беспокоиться о случае.
По данным Intel, утечка произошла по вине третьей стороны. а не в результате компрометации инфраструктуры компании.
«Наш проприетарный код UEFI, похоже, стал известен третьей стороне. Мы не считаем, что это обнаружит какие-либо новые уязвимости безопасности, поскольку мы не полагаемся на запутывание информации как на меру безопасности. Этот код покрывается нашей программой вознаграждения за обнаружение ошибок в рамках Project Circuit Breaker, и мы призываем любого исследователя, который может определить потенциальные уязвимости, довести его до нашего сведения через эту программу. Мы обращаемся как к клиентам, так и к сообществу исследователей безопасности, чтобы информировать их об этой ситуации». — представитель Intel.
При этом не уточняется, кто именно стал источником утечки (поскольку, например, производители OEM-оборудования и компании, разрабатывающие заказные прошивки, имели доступ к инструментам для компиляции прошивки).
О деле, упоминается, что анализ содержимого опубликованного файла выявил некоторые тесты и сервисы специфические продуктов Леново ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), но причастность Lenovo к утечке также выявила утилиты и библиотеки от Insyde Software, которая разрабатывает прошивки для OEM-производителей, и журнал git содержит электронное письмо от один из сотрудников компании ЖК Будущее Центр, которая производит ноутбуки для различных OEM-производителей.
По данным Intel, вышедший в открытый доступ код не содержит конфиденциальных данных или компоненты, которые могут способствовать раскрытию новых уязвимостей. В то же время Марк Ермолов, специализирующийся на исследованиях безопасности платформ Intel, раскрыл в опубликованном файле информацию о недокументированных журналах MSR (журналах, специфичных для модели, используемых для управления микрокодом, отслеживания и отладки), сведения о которых подпадают под действие соглашение о неконфиденциальности.
Кроме того, в файле обнаружен закрытый ключ, который используется для цифровой подписи прошивкичто потенциально может использоваться для обхода защиты Intel Boot Guard (Работа ключа не подтверждена, возможно, это тестовый ключ.)
Также упоминается, что вышедший в открытый доступ код охватывает программу Project Circuit Breaker, предполагающую выплату вознаграждения в размере от 500 до 100,000 XNUMX долларов за выявление проблем с безопасностью в прошивках и продуктах Intel (подразумевается, что исследователи могут получать вознаграждение за сообщение уязвимости, обнаруженные с использованием содержимого утечки).
«Этот код покрывается нашей программой вознаграждения за обнаружение ошибок в рамках кампании Project Circuit Breaker, и мы призываем любого исследователя, который может выявить потенциальные уязвимости, сообщать нам о них через эту программу», — добавила Intel.
Наконец, стоит отметить, что в отношении утечки данных самое последнее изменение в опубликованном коде датировано 30 сентября 2022 года, поэтому опубликованная информация обновлена.