Ang BIOS hardware code para sa mga processor ng Intel Alder Lake ay nai-post sa 4chan
Ilang araw na ang nakalipas sa net ang balita tungkol sa Alder Lake UFEI code leak ay inilabas na mula sa Intel sa 4chan at isang kopya ay nai-publish sa ibang pagkakataon sa GitHub.
Tungkol sa kaso Ang Intel, ay hindi nag-apply kaagad, ngunit ngayon ay nakumpirma na ang pagiging tunay mula sa UEFI at BIOS firmware source code na nai-post ng isang hindi kilalang tao sa GitHub. Sa kabuuan, na-publish ang 5,8 GB ng code, mga utility, dokumentasyon, blobs, at configuration na nauugnay sa pagbuo ng firmware para sa mga system na may mga processor batay sa microarchitecture ng Alder Lake, na inilabas noong Nobyembre 2021.
Binanggit ng Intel na ang mga kaugnay na file ay nasa sirkulasyon sa loob ng ilang araw at dahil dito ang balita ay direktang kinukumpirma mula sa Intel, na binabanggit na nais nitong ituro na ang bagay ay hindi nagpapahiwatig ng mga bagong panganib para sa seguridad ng mga chips at ang mga sistema kung saan ginagamit, kaya nanawagan ito na huwag maalarma tungkol sa kaso.
Ayon sa Intel, naganap ang pagtagas dahil sa isang third party at hindi bilang resulta ng isang kompromiso sa imprastraktura ng kumpanya.
“Mukhang na-leak ng third party ang aming pagmamay-ari na UEFI code. Hindi kami naniniwala na ito ay maglalantad ng anumang mga bagong kahinaan sa seguridad, dahil hindi kami umaasa sa obfuscation ng impormasyon bilang isang hakbang sa seguridad. Ang code na ito ay sakop ng aming bug bounty program sa loob ng Project Circuit Breaker, at hinihikayat namin ang sinumang mananaliksik na maaaring tumukoy ng mga potensyal na kahinaan na dalhin ito sa aming atensyon sa pamamagitan ng programang ito. Nakikipag-ugnayan kami sa parehong mga customer at sa komunidad ng pagsasaliksik sa seguridad upang panatilihing alam nila ang tungkol sa sitwasyong ito." — tagapagsalita ng Intel.
Dahil dito, hindi tinukoy kung sino ang eksaktong naging pinagmulan ng pagtagas (dahil halimbawa, ang mga tagagawa ng kagamitan ng OEM at mga kumpanyang bumubuo ng custom na firmware ay may access sa mga tool para i-compile ang firmware).
Tungkol sa kaso, nabanggit na ang pagsusuri sa nilalaman ng nai-publish na file ay nagsiwalat ng ilang mga pagsubok at serbisyo tiyak ng mga produkto ng Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), ngunit ang paglahok ng Lenovo sa pagtagas ay nagsiwalat din ng mga utility at library mula sa Insyde Software, na bumubuo ng firmware para sa mga OEM, at ang git log ay naglalaman ng isang email mula sa isa sa mga empleyado ng L.C. Future Center, na gumagawa ng mga laptop para sa iba't ibang OEM.
Ayon sa Intel, ang code na pumasok sa open access ay hindi naglalaman ng sensitibong data o mga bahagi na maaaring mag-ambag sa pagsisiwalat ng mga bagong kahinaan. Kasabay nito, si Mark Yermolov, na dalubhasa sa pagsasaliksik sa seguridad ng mga platform ng Intel, ay nagsiwalat sa na-publish na impormasyon ng file tungkol sa mga undocumented na MSR log (mga log na partikular sa modelo, ginagamit para sa pamamahala ng microcode, pagsubaybay, at pag-debug), impormasyon tungkol sa kung saan nasa ilalim ng isang non-confidentiality agreement.
Bukod dito, may nakitang pribadong key sa file, na ginagamit para digitally sign ang firmwareNa maaaring magamit upang i-bypass ang proteksyon ng Intel Boot Guard (Ang susi ay hindi kumpirmadong gumagana, maaaring ito ay isang pansubok na susi.)
Nabanggit din na ang code na pumasok sa open access ay sumasaklaw sa Project Circuit Breaker program, na kinabibilangan ng pagbabayad ng mga reward mula $500 hanggang $100,000 para sa pagtukoy ng mga problema sa seguridad sa firmware at mga produkto ng Intel (nauunawaan na ang mga mananaliksik ay maaaring makatanggap ng mga gantimpala upang mag-ulat mga kahinaan na natuklasan sa pamamagitan ng paggamit ng mga nilalaman ng pagtagas).
"Ang code na ito ay sakop ng aming bug bounty program sa loob ng Project Circuit Breaker campaign, at hinihikayat namin ang sinumang mananaliksik na maaaring tumukoy ng mga potensyal na kahinaan na iulat ang mga ito sa amin sa pamamagitan ng programang ito," dagdag ng Intel.
Sa wakas, nararapat na banggitin na tungkol sa pagtagas ng data, ang pinakabagong pagbabago sa na-publish na code ay napetsahan noong Setyembre 30, 2022, kaya na-update ang impormasyong inilabas.