אינטל אישרה את האותנטיות של קוד קושחת UEFI שדלף עבור שבבי Alder Lake

אינטל אישרה את האותנטיות של קושחת UEFI וקודי המקור של ה-BIOS שפורסמו על ידי אדם לא ידוע ב-GitHub. סה"כ 5.8 ג'יגה-בייט של קוד, כלי עזר, תיעוד, בלובים והגדרות הקשורים לייצור קושחה למערכות עם מעבדים המבוססים על המיקרו-ארכיטקטורה של Alder Lake, שפורסמה בנובמבר 2021. השינוי האחרון בקוד שפורסם היה ב-30 בספטמבר 2022.

לטענת אינטל, הדליפה התרחשה בשל אשמתו של צד שלישי, ולא כתוצאה מפגיעה בתשתית החברה. כמו כן, מוזכר כי הקוד שדלף מכוסה על ידי תוכנית Project Circuit Breaker, המעניקה תגמולים הנעים בין 500 ל-100000 דולר עבור זיהוי בעיות אבטחה בקושחה ובמוצרים של אינטל (מה שמרמז כי חוקרים יכולים לקבל תגמולים עבור דיווח על נקודות תורפה שהתגלו באמצעות תוכן ה-Intel. דְלִיפָה).

לא מצוין מי בדיוק הפך למקור הדליפה (ליצרני ציוד OEM וחברות המפתחות קושחה מותאמת אישית הייתה גישה לכלים להרכבת קושחה). ניתוח של תוכן הארכיון שפורסם חשף כמה בדיקות ושירותים ספציפיים למוצרי לנובו ("Lenovo Feature Test Information', "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), אך מעורבותה של לנובו ב הדליפה עדיין לא אושרה. הארכיון חשף גם כלי עזר וספריות של חברת Insyde Software, המפתחת קושחה עבור יצרני OEM, ויומן ה-git מכיל מייל מאחד מעובדי חברת LC Future Center, המייצרת מחשבים ניידים עבור יצרני OEM שונים. שתי החברות משתפות פעולה עם לנובו.

לפי אינטל, הקוד הזמין לציבור אינו מכיל נתונים סודיים או כל רכיב שעלול לתרום לחשיפת נקודות תורפה חדשות. במקביל, מארק ארמולוב, המתמחה בחקר אבטחת פלטפורמות אינטל, זיהה בארכיון שפורסם מידע על אוגרי MSR לא מתועדים (Model Specific Registers, המשמשים בין היתר לניהול מיקרוקוד, איתור וניפוי באגים), מידע אודות אשר כפוף להסכם סודיות. יתרה מכך, בארכיון נמצא מפתח פרטי, המשמש לחתימה דיגיטלית על קושחה, אשר עשוי לשמש כדי לעקוף את הגנת Intel Boot Guard (הפונקציונליות של המפתח לא אושרה; ייתכן שמדובר במפתח בדיקה).

מקור: OpenNet.ru