Intel har bekreftet autentisiteten til UEFI-fastvaren og BIOS-kildekodene publisert av en ukjent person på GitHub. Totalt ble 5.8 GB med kode, verktøy, dokumentasjon, blobs og innstillinger knyttet til dannelsen av fastvare for systemer med prosessorer basert på Alder Lake-mikroarkitekturen, utgitt i november 2021, publisert. Den siste endringen i den publiserte koden er datert 30. september 2022.
Ifølge Intel skjedde lekkasjen ved feil av en tredjepart, og ikke som følge av et kompromiss i selskapets infrastruktur. Det nevnes også at koden som kom inn i åpen tilgang dekker Project Circuit Breaker-programmet, som innebærer utbetaling av belønninger fra $ 500 til $ 100000 XNUMX for å identifisere sikkerhetsproblemer i fastvare og Intel-produkter (det er forstått at forskere kan motta belønninger for rapportering av sårbarheter oppdaget ved bruk av innholdet i lekkasjen).
Det er ikke spesifisert hvem som var kilden til lekkasjen (OEM-produsenter av utstyr og selskaper som utvikler tilpasset firmware hadde tilgang til verktøyene for å sette sammen fastvare). Under analysen av innholdet i det publiserte arkivet ble noen tester og tjenester spesifikke for Lenovo-produkter ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service") identifisert, men Lenovos involvering i lekkasjen er ennå ikke bekreftet. Arkivet avslørte også verktøy og biblioteker fra Insyde Software, som utvikler fastvare for OEM-er, og git-loggen inneholder en e-post fra en av de ansatte i LC Future Center, som produserer bærbare datamaskiner for forskjellige OEM-er. Begge selskapene samarbeider med Lenovo.
Ifølge Intel inneholder ikke koden som kom inn i åpen tilgang konfidensielle data eller noen komponenter som kan bidra til avsløring av nye sårbarheter. Samtidig avslørte Mark Yermolov, som har spesialisert seg på å forske på sikkerheten til Intel-plattformer, i det publiserte arkivet informasjon om udokumenterte MSR-registre (Model Specific Registers, brukt blant annet til å administrere mikrokode, sporing og feilsøking), informasjon om som er underlagt en taushetserklæring. Dessuten ble det funnet en privat nøkkel i arkivet, som brukes til digital signering av fastvare, som potensielt kan brukes til å omgå Intel Boot Guard-beskyttelse (nøkkelens ytelse er ikke bekreftet, det er mulig at dette er en testnøkkel).
Kilde: opennet.ru