Апаратний код BIOS для процесорів Intel Alder Lake був опублікований на 4chan
Кілька днів тому в мережі була опублікована новина про витік коду Alder Lake UFEI від Intel на 4chan, а копію пізніше було опубліковано на GitHub.
Про справу Intel не подала заявку миттєво, але зараз підтвердила автентичність із вихідних кодів мікропрограм UEFI та BIOS, опублікованих невідомою особою на GitHub. Загалом опубліковано 5,8 ГБ коду, утиліт, документації, блобів і конфігурацій, пов’язаних із формуванням прошивки, для систем із процесорами на основі мікроархітектури Alder Lake, випущеної в листопаді 2021 року.
Intel зазначає, що відповідні файли були в обігу протягом кількох днів, і тому новина підтверджується безпосередньо від Intel, яка зазначає, що хоче зазначити, що це питання не передбачає нових ризиків для безпеки чіпів і системи, в яких використовуються, тому закликає не хвилюватися про випадок.
За словами Intel, витік стався через третю сторону а не в результаті компромісу в інфраструктурі компанії.
«Наш власний код UEFI, схоже, був витік третьою стороною. Ми не віримо, що це призведе до виявлення будь-яких нових вразливостей у безпеці, оскільки ми не покладаємося на приховування інформації як засіб безпеки. Цей код охоплюється нашою програмою винагород за помилки в рамках Project Circuit Breaker, і ми заохочуємо будь-якого дослідника, який може виявити потенційні вразливості, повідомити про це нам за допомогою цієї програми. Ми звертаємося як до клієнтів, так і до спільноти дослідників безпеки, щоб інформувати їх про цю ситуацію». — речник Intel.
Таким чином, не уточнюється, хто саме став джерелом витоку (оскільки, наприклад, виробники OEM-обладнання та компанії, що розробляють власну прошивку, мали доступ до інструментів для компіляції прошивки).
Про справу, зазначається, що аналіз вмісту опублікованого файлу виявив деякі тести та сервіси специфічні продуктів Lenovo ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), але причетність Lenovo до витоку також виявила утиліти та бібліотеки від Insyde Software, яка розробляє мікропрограми для OEM-виробників, і журнал git містить електронний лист від один із співробітників ЖК Центр майбутнього, яка виробляє ноутбуки для різних OEM-виробників.
За словами Intel, код, який потрапив у відкритий доступ, не містить конфіденційних даних або компоненти, які можуть сприяти розкриттю нових вразливостей. У той же час Марк Єрмолов, який спеціалізується на дослідженні безпеки платформ Intel, розкрив в опублікованому файлі інформацію про недокументовані логи MSR (модельно-специфічні логи, які використовуються для управління мікрокодом, відстеження та налагодження), інформація про які підпадає під договір про неконфіденційність.
Крім того, у файлі знайдено закритий ключ, який використовується для цифрового підпису прошивкиЩо потенційно можна використовувати для обходу захисту Intel Boot Guard (Працює ключ не підтверджено, можливо, це тестовий ключ.)
Також згадується, що код, який потрапив у відкритий доступ, охоплює програму Project Circuit Breaker, яка передбачає виплату винагород у розмірі від 500 до 100,000 XNUMX доларів США за виявлення проблем із безпекою в прошивці та продуктах Intel (зрозуміло, що дослідники можуть отримувати винагороду, щоб повідомити про це). уразливості, виявлені за допомогою вмісту витоку).
«Цей код охоплюється нашою програмою винагород за помилки в рамках кампанії Project Circuit Breaker, і ми заохочуємо будь-якого дослідника, який може виявити потенційні вразливості, повідомляти нам про них через цю програму», — додала Intel.
Нарешті, варто зазначити, що щодо витоку даних остання зміна в опублікованому коді датована 30 вересня 2022 року, тому опублікована інформація оновлюється.