Intel confirma la fuga del código fuente del BIOS de Alder Lake, surgen nuevos detalles

Recientemente dimos a conocer la noticia de que el código fuente de BIOS de Alder Lake de Intel se había filtrado a 4chan y Github, y el archivo de 6 GB contenía herramientas y código para crear y optimizar imágenes de BIOS/UEFI. Informamos la fuga a las pocas horas de la ocurrencia inicial, por lo que aún no teníamos la confirmación de Intel de que la fuga era genuina. Intel ahora ha emitido una declaración a Tom’s Hardware confirmando el incidente:

“Nuestro código UEFI patentado parece haber sido filtrado por un tercero. No creemos que esto exponga nuevas vulnerabilidades de seguridad, ya que no confiamos en la ofuscación de la información como medida de seguridad. Este código está cubierto por nuestro programa de recompensas por vulnerabilidades dentro del Project Circuit Breaker , y alentamos a cualquier investigador que pueda identificar vulnerabilidades potenciales a llamar nuestra atención a través de este programa. Nos estamos acercando tanto a los clientes como a la comunidad de investigación de seguridad para mantenerlos informados sobre esta situación”. — Portavoz de Intel. 

El BIOS/UEFI de una computadora inicializa el hardware antes de que se haya cargado el sistema operativo. Entre sus muchas responsabilidades, el BIOS establece conexiones a ciertos mecanismos de seguridad, como el TPM (Trusted Platform Module). Ahora que el código BIOS/UEFI está disponible e Intel ha confirmado que es legítimo, tanto los actores nefastos como los investigadores de seguridad sin duda lo probarán para buscar posibles puertas traseras y vulnerabilidades de seguridad. 

De hecho, el famoso investigador de seguridad Mark Ermolov ya ha estado trabajando arduamente para analizar el código. Sus primeros informes indican que ha encontrado MSR secretos (registros específicos del modelo) que normalmente están reservados para código privilegiado y, por lo tanto, pueden presentar un problema de seguridad, junto con la clave de firma privada utilizada para Boot Guard de Intel , lo que podría invalidar la función. Además, también hay señales de ACM (Módulos de código autenticado) para BootGuard y TXT (Tecnología de ejecución confiable), lo que presagia posibles problemas futuros con la raíz de confianza. 

Sin embargo, el impacto y la amplitud de los descubrimientos podrían ser limitados. La mayoría de los proveedores de placas base y los OEM tienen herramientas e información similares disponibles para crear firmware para las plataformas Intel. Además, la declaración de Intel de que no se basa en la ofuscación de la información como medida de seguridad significa que probablemente ha borrado el material más sensible antes de entregarlo a proveedores externos.

Sin embargo, Intel está siendo proactivo y alienta a los investigadores a enviar cualquier vulnerabilidad que encuentren a su programa de recompensas por vulnerabilidades Project Circuit Breaker , que otorga entre $ 500 y $ 100,000 por cada una, según la gravedad del problema informado. No está claro si el código puede beneficiar indirectamente a grupos de código abierto como Coreboot. 

Intel no ha confirmado quién filtró el código o dónde y cómo se extrajo. Sin embargo, sabemos que el repositorio de GitHub, ahora eliminado pero ya replicado ampliamente, fue creado por un aparente empleado de LC Future Center , un ODM con sede en China que fabrica computadoras portátiles para varios OEM, incluido Lenovo. Además uno de los documentos filtrados hace referencia a la “Información de prueba de la etiqueta de características de Lenovo”, lo que promueve las teorías del vínculo entre la empresa y la fuga. También hay una gran cantidad de archivos etiquetados como ‘Insyde’, que se refieren a Insyde Software , una empresa que proporciona firmware BIOS/UEFI a los OEM y se sabe que trabaja con Lenovo. 

Todavía no tenemos conocimiento de ningún intento de rescate pero es posible que Intel o las partes afectadas no hayan hecho públicos esos intentos. Por el contrario, este podría ser simplemente el caso de que un empleado publique inadvertidamente el código fuente en un repositorio público.

Sin embargo, los ataques recientes se han dirigido a proveedores externos para robar indirectamente información de los fabricantes de semiconductores lo que permite intentos de rescate y esta filtración podría seguir ese modelo.