Firma Intel potwierdziła autentyczność kodów źródłowych oprogramowania sprzętowego UEFI i systemu BIOS opublikowanych przez nieznaną osobę w serwisie GitHub. Opublikowano łącznie 5.8 GB kodu, narzędzi, dokumentacji, blobów i ustawień związanych z generacją oprogramowania sprzętowego dla systemów z procesorami opartymi na mikroarchitekturze Alder Lake, wydanego w listopadzie 2021 roku. Ostatnia zmiana w opublikowanym kodzie miała datę 30 września 2022 r.
Według Intela do wycieku doszło z winy strony trzeciej, a nie w wyniku naruszenia infrastruktury firmy. Wspomniano również, że wyciekły kod objęty jest programem Project Circuit Breaker, który zapewnia nagrody w wysokości od 500 do 100000 XNUMX dolarów za identyfikację problemów związanych z bezpieczeństwem oprogramowania sprzętowego i produktów firmy Intel (co oznacza, że badacze mogą otrzymać nagrody za zgłaszanie luk w zabezpieczeniach wykrytych przy użyciu zawartości programu przeciek).
Nie podano, kto dokładnie stał się źródłem wycieku (dostęp do narzędzi do montażu oprogramowania mieli producenci sprzętu OEM oraz firmy opracowujące oprogramowanie na zamówienie). Analiza zawartości opublikowanego archiwum ujawniła pewne testy i usługi specyficzne dla produktów Lenovo („Informacje o testach znaczników funkcji Lenovo”, „Lenovo String Service”, „Lenovo Secure Suite”, „Lenovo Cloud Service”), ale zaangażowanie Lenovo w wyciek nie został jeszcze potwierdzony. W archiwum ujawniono także narzędzia i biblioteki firmy Insyde Software, która opracowuje oprogramowanie sprzętowe dla producentów OEM, a git log zawiera e-mail od jednego z pracowników firmy LC Future Center, która produkuje laptopy dla różnych producentów OEM. Obie firmy współpracują z Lenovo.
Według Intela ogólnodostępny kod nie zawiera poufnych danych ani żadnych komponentów, które mogłyby przyczynić się do ujawnienia nowych luk. Jednocześnie Mark Ermolov, specjalizujący się w badaniu bezpieczeństwa platform Intela, zidentyfikował w opublikowanym archiwum informacje o nieudokumentowanych rejestrach MSR (ModelSpecific Registers, służących m.in. do zarządzania mikrokodem, śledzenia i debugowania), informacje o która jest objęta umową o zachowaniu poufności. Ponadto w archiwum odnaleziono klucz prywatny, służący do cyfrowego podpisywania oprogramowania sprzętowego, który potencjalnie może zostać wykorzystany do ominięcia zabezpieczenia Intel Boot Guard (funkcjonalność klucza nie została potwierdzona; możliwe, że jest to klucz testowy).
Źródło: opennet.ru