Kodi i harduerit BIOS për procesorët Intel Alder Lake u postua në 4chan
Para disa ditësh në rrjet Lajmi për rrjedhjen e kodit UFEI të Alder Lake ishte publikuar nga Intel në 4chan dhe një kopje u publikua më vonë në GitHub.
Rreth rastit Intel, nuk u aplikua menjëherë, por tani ka konfirmuar vërtetësinë nga kodet burimore të firmuerit UEFI dhe BIOS të postuara nga një person i panjohur në GitHub. Në total, 5,8 GB kod, shërbime, dokumentacion, blobs dhe konfigurime në lidhje me formimin e firmuerit janë publikuar për sistemet me procesorë të bazuar në mikroarkitekturën e Alder Lake, lëshuar në nëntor 2021.
Intel thekson se dosjet e lidhura kanë qenë në qarkullim prej disa ditësh dhe si i tillë lajmi po konfirmohet direkt nga Intel, i cili përmend se dëshiron të theksojë se çështja nuk nënkupton rreziqe të reja për sigurinë e çipave dhe sistemet në të cilat përdoren, ndaj bën thirrje që të mos alarmohet për rastin.
Sipas Intel, rrjedhja ka ndodhur për shkak të një pale të tretë dhe jo si rezultat i një kompromisi në infrastrukturën e kompanisë.
“Kodi ynë i pronarit UEFI duket se është zbuluar nga një palë e tretë. Ne nuk besojmë se kjo do të ekspozojë ndonjë dobësi të re sigurie, pasi nuk mbështetemi në turbullimin e informacionit si masë sigurie. Ky kod mbulohet nga programi ynë i shpërblimit të gabimeve brenda Project Circuit Breaker, dhe ne inkurajojmë çdo studiues që mund të identifikojë dobësitë e mundshme për ta sjellë atë në vëmendjen tonë përmes këtij programi. Ne po kontaktojmë si me klientët ashtu edhe me komunitetin e kërkimit të sigurisë për t'i mbajtur ata të informuar për këtë situatë." - Zëdhënësi i Intel.
Si i tillë, nuk specifikohet se kush u bë saktësisht burimi i rrjedhjes (pasi për shembull prodhuesit e pajisjeve OEM dhe kompanitë që zhvillonin firmware me porosi kishin akses në mjetet për të përpiluar firmuerin).
Rreth rastit, përmendet se nga analiza e përmbajtjes së dosjes së publikuar janë zbuluar disa teste dhe shërbime specifik e produkteve Lenovo ("Informacioni i testit të etiketave të veçorive të Lenovo", "Shërbimi i vargut të Lenovo", "Lenovo Secure Suite", "Lenovo Cloud Service"), por përfshirja e Lenovo në rrjedhje zbuloi gjithashtu shërbime dhe biblioteka nga Insyde Software, i cili zhvillon firmware për OEM, dhe regjistri i git përmban një email nga një nga punonjësit e Qendra e së Ardhmes LC, e cila prodhon laptopë për OEM të ndryshëm.
Sipas Intel, kodi që hyri në akses të hapur nuk përmban të dhëna të ndjeshme ose komponentë që mund të kontribuojnë në zbulimin e dobësive të reja. Në të njëjtën kohë, Mark Yermolov, i specializuar në kërkimin e sigurisë së platformave Intel, zbuloi në skedarin e publikuar informacione për regjistrat e padokumentuar MSR (regjistrat specifikë të modelit, të përdorura për menaxhimin e mikrokodit, gjurmimin dhe korrigjimin e gabimeve), informacione rreth të cilave bien nën një marrëveshje jo-konfidencialiteti.
Përveç kësaj, në skedar u gjet një çelës privat, i cili përdoret për të nënshkruar në mënyrë dixhitale firmwareQë mund të përdoret potencialisht për të anashkaluar mbrojtjen e Intel Boot Guard (Çelësi nuk është konfirmuar se funksionon, mund të jetë një çelës testimi.)
Gjithashtu përmendet se kodi që hyri në akses të hapur mbulon programin Project Circuit Breaker, i cili përfshin pagesën e shpërblimeve që variojnë nga 500 deri në 100,000 dollarë për identifikimin e problemeve të sigurisë në firmware dhe produktet Intel (kuptohet që studiuesit mund të marrin shpërblime për të raportuar dobësitë e zbuluara duke përdorur përmbajtjen e rrjedhjes).
"Ky kod mbulohet nga programi ynë i shpërblimit të gabimeve në kuadër të fushatës Project Circuit Breaker dhe ne inkurajojmë çdo studiues që mund të identifikojë dobësitë e mundshme që t'i raportojë ato tek ne përmes këtij programi," shtoi Intel.
Së fundmi, vlen të theksohet se sa i përket rrjedhjes së të dhënave, ndryshimi më i fundit në kodin e publikuar është i datës 30 shtator 2022, pra informacioni i publikuar është përditësuar.