Niedawno dowiedzieliśmy się o wycieku kodu źródłowego BIOS-u Alder Lake Intela na 4chan i Github, gdzie 6GB plik zawierał narzędzia i kod do budowy i optymalizacji obrazów BIOS-u/UEFI. Tuż po tym wydarzeniu nikt nie wiedział, czy jest to faktycznie prawdziwy kod źródłowy. Teraz Intel wydał oficjalne oświadczenie.
“Wydaje się, że nasz zastrzeżony kod UEFI został wycieknięty przez stronę trzecią. Nie sądzimy, aby to ujawniło jakiekolwiek nowe luki w zabezpieczeniach, ponieważ nie polegamy na ukryciu informacji jako środka bezpieczeństwa. Kod ten jest objęty naszym programem bug bounty w ramach kampanii Project Circuit Breaker i zachęcamy wszystkich badaczy, którzy mogą zidentyfikować potencjalne luki, aby zwrócili na nie uwagę za pośrednictwem tego programu. Docieramy zarówno do klientów, jak i społeczności badaczy bezpieczeństwa, aby informować ich o tej sytuacji.” – rzecznik Intela.
BIOS/UEFI komputera inicjalizuje sprzęt przed załadowaniem systemu operacyjnego, więc wśród jego wielu obowiązków jest nawiązywanie połączeń z pewnymi mechanizmami bezpieczeństwa, jak TPM (Trusted Platform Module). Teraz gdy kod BIOS/UEFI jest już dostępny, a Intel potwierdził jego legalność, zarówno organizacje przestępcze, jak i badacze bezpieczeństwa bez wątpienia będą go badać w poszukiwaniu potencjalnych backdoorów i luk bezpieczeństwa.
Znany badacz bezpieczeństwa Mark Ermolov już ciężko pracował nad analizą kodu. Jego wczesne raporty wskazują, że znalazł on tajne rejestry MSR (Model Specific Registers), które są zwykle zarezerwowane dla autoryzowanego kodu, a zatem mogą stanowić problem bezpieczeństwa, wraz z prywatnym kluczem do podpisywania używanym w Boot Guard Intela, co potencjalnie unieważnia tę funkcję. Ponadto istnieją również ślady ACM (Authenticated Code Modules) dla BootGuard i TXT (Trusted Execution Technology), co zapowiada potencjalne przyszłe problemy z podstawą zaufania.
Intel zachowuje się jednak proaktywnie i zachęca badaczy do zgłaszania znalezionych luk do swojego programu bug bounty Project Circuit Breaker, w którym za każdy błąd przyznawane jest od 500 do 100 tysięcy dolarów, w zależności od wagi zgłoszonego problemu. Nie jest jasne, czy kod może pośrednio przynieść korzyści grupom open-source, takim jak Coreboot.
Intel nie potwierdził, kto wyciekł kod ani gdzie i w jaki sposób został on przeniesiony. Wiemy jednak, że repozytorium na GitHubie, obecnie zdjęte, ale już szeroko replikowane, zostało stworzone przez oczywistego pracownika LC Future Center, chińskiej firmy ODM, która produkuje laptopy dla kilku producentów OEM, w tym Lenovo. Dodatkowo, jeden z wyciekłych dokumentów odnosi się do “Lenovo Feature Tag Test Information”, pogłębiając teorie o powiązaniu firmy z wyciekiem. Istnieje również wiele plików oznaczonych jako “Insyde”, co odnosi się do Insyde Software, firmy, która dostarcza firmware BIOS/UEFI producentom OEM i jest znana ze współpracy z Lenovo.