Intel a confirmé l'authenticité des codes sources du micrologiciel UEFI et du BIOS publiés par une personne inconnue sur GitHub. Au total, 5.8 Go de code, d'utilitaires, de documentation, de blobs et de paramètres liés à la formation de micrologiciels pour les systèmes dotés de processeurs basés sur la microarchitecture Alder Lake, publiés en novembre 2021, ont été publiés. La modification la plus récente du code publié date du 30 septembre 2022.
Selon Intel, la fuite s'est produite par la faute d'un tiers et non par une compromission de l'infrastructure de l'entreprise. Il est également mentionné que le code entré en libre accès couvre le programme Project Circuit Breaker, qui implique le paiement de récompenses allant de 500 $ à 100000 XNUMX $ pour l'identification de problèmes de sécurité dans les micrologiciels et les produits Intel (il est entendu que les chercheurs peuvent recevoir des récompenses pour signaler les vulnérabilités découvertes en utilisant le contenu de la fuite).
Il n'est pas précisé qui est exactement à l'origine de la fuite (les fabricants d'équipements OEM et les entreprises développant des firmwares personnalisés avaient accès aux outils d'assemblage du firmware). Lors de l'analyse du contenu de l'archive publiée, certains tests et services spécifiques aux produits Lenovo (« Lenovo Feature Tag Test Information », « Lenovo String Service », « Lenovo Secure Suite », « Lenovo Cloud Service ») ont été identifiés, mais L'implication de Lenovo dans la fuite n'est pas encore confirmée. L'archive a également révélé des utilitaires et des bibliothèques d'Insyde Software, qui développe des micrologiciels pour les OEM, et le journal git contient un e-mail d'un des employés du LC Future Center, qui produit des ordinateurs portables pour divers OEM. Les deux sociétés s'associent à Lenovo.
Selon Intel, le code mis en libre accès ne contient aucune donnée confidentielle ni aucun composant susceptible de contribuer à la divulgation de nouvelles vulnérabilités. Dans le même temps, Mark Yermolov, spécialisé dans la recherche sur la sécurité des plates-formes Intel, a révélé dans les archives publiées des informations sur les registres MSR (Model Specific Registers, utilisés entre autres pour la gestion du microcode, le traçage et le débogage) non documentés, des informations sur qui est soumis à un accord de confidentialité. De plus, une clé privée a été trouvée dans l'archive, qui est utilisée pour signer numériquement le micrologiciel, qui peut potentiellement être utilisé pour contourner la protection Intel Boot Guard (les performances de la clé n'ont pas été confirmées, il est possible qu'il s'agisse d'une clé de test).
Source: opennet.ru