Koda strojne opreme BIOS za procesorje Intel Alder Lake je bila objavljena na 4chan
Pred nekaj dnevi na netu objavljena je bila novica o uhajanju kode Alder Lake UFEI od Intela na 4chan, kopija pa je bila pozneje objavljena na GitHubu.
O primeru Intel se ni prijavil takoj, vendar je zdaj potrdil pristnost iz izvornih kod vdelane programske opreme UEFI in BIOS, ki jih je objavila neznana oseba na GitHub. Za sisteme s procesorji, ki temeljijo na mikroarhitekturi Alder Lake, izdani novembra 5,8, je bilo skupno objavljenih 2021 GB kode, pripomočkov, dokumentacije, blobov in konfiguracij, povezanih z oblikovanjem vdelane programske opreme.
Intel omenja, da so povezane datoteke v obtoku že nekaj dni in kot tako novico potrjuje neposredno Intel, ki omenja, da želi poudariti, da zadeva ne pomeni novih tveganj za varnost čipov in sistemov, v katerih se uporabljajo, zato poziva, naj se zaradi primera ne obremenjujemo.
Po mnenju Intela je do uhajanja prišlo zaradi tretje osebe in ne kot posledica kompromisa v infrastrukturi podjetja.
»Zdi se, da je našo lastniško kodo UEFI razkrila tretja oseba. Ne verjamemo, da bo to razkrilo nove varnostne ranljivosti, saj se ne zanašamo na zakrivanje informacij kot varnostni ukrep. Ta koda je zajeta v našem programu nagrajevanja hroščev znotraj Project Circuit Breaker in spodbujamo vse raziskovalce, ki lahko odkrijejo morebitne ranljivosti, da nas s tem programom opozorijo na to. Obrnemo se na stranke in varnostno raziskovalno skupnost, da bi jih obveščali o tej situaciji." — Intelov tiskovni predstavnik.
Kot tako ni določeno, kdo točno je postal vir uhajanja (ker so imeli na primer proizvajalci opreme OEM in podjetja, ki razvijajo vdelano programsko opremo po meri, dostop do orodij za prevajanje vdelane programske opreme).
O primeru, omenjeno je, da je analiza vsebine objavljene datoteke razkrila nekatere teste in storitve specifična izdelkov Lenovo (»Lenovo Feature Tag Test Information«, »Lenovo String Service«, »Lenovo Secure Suite«, »Lenovo Cloud Service«), vendar je vpletenost Lenova v uhajanje razkrila tudi pripomočke in knjižnice podjetja Insyde Software, ki razvija vdelano programsko opremo za proizvajalce originalne opreme, in dnevnik git vsebuje e-poštno sporočilo od eden od zaposlenih v Center prihodnosti LC, ki proizvaja prenosnike za različne proizvajalce originalne opreme.
Po mnenju Intela koda, ki je šla v odprti dostop, ne vsebuje občutljivih podatkov ali komponente, ki lahko prispevajo k razkritju novih ranljivosti. Hkrati je Mark Yermolov, ki je specializiran za raziskovanje varnosti platform Intel, v objavljeni datoteki razkril informacije o nedokumentiranih dnevnikih MSR (dnevniki, specifični za model, ki se uporabljajo za upravljanje mikrokode, sledenje in odpravljanje napak), informacije o katerih spadajo pod pogodbo o nezaupnosti.
Poleg tega, v datoteki je bil najden zasebni ključ, ki se uporablja za digitalno podpisovanje vdelane programske opremeTo se lahko potencialno uporabi za obhod zaščite Intel Boot Guard (Ni bilo potrjeno, da ključ deluje, morda je testni ključ.)
Omenjeno je tudi, da koda, ki je šla v odprt dostop, zajema program Project Circuit Breaker, ki vključuje plačilo nagrad v razponu od 500 do 100,000 dolarjev za odkrivanje varnostnih težav v vdelani programski opremi in izdelkih Intel (razume se, da lahko raziskovalci prejmejo nagrade za prijavo ranljivosti, odkrite z uporabo vsebine puščanja).
"To kodo pokriva naš program za nagrajevanje hroščev v okviru kampanje Project Circuit Breaker in spodbujamo vse raziskovalce, ki lahko prepoznajo potencialne ranljivosti, da nam jih sporočijo prek tega programa," je dodal Intel.
Nazadnje velja omeniti, da je glede uhajanja podatkov zadnja sprememba objavljene kode z datumom 30. september 2022, tako da so objavljene informacije posodobljene.