Di recente, era stato riscontrato un leak del codice sorgente del BIOS delle CPU Intel Alder Lake. Un file da 6 GB era stato pubblicato su 4chan e GitHub, e conteneva vari tool e codice per la build e l'ottimizzazione di immagini BIOS/UEFI.
Tali leak sono stati confermati da un rappresentante di Intel a Tom's Hardware USA, che ha confermato l'assenza di nuove vulnerabilità di sicurezza, dato che il codice rientra nel programma di Bug Bounty dell'azienda, all'interno della campagna nota come Project Circuit Breaker. L'azienda promette comunque che terrà aggiornati sia i clienti che i ricercatori sugli sviluppi della vicenda.
In ogni caso, è molto probabile che il codice BIOS/UEFI che sta circolando in seguito al leak sarà soggetto a ricerche di potenziali backdoor e vulnerabilità di sicurezza, sia da parte di analisti e ricercatori di sicurezza che di malintenzionati.
I can't believe: NDA-ed MSRs, for the newest CPU, what a good day... pic.twitter.com/bNitVJlkkL
— Mark Ermolov (@_markel___) October 8, 2022
Ciò è confermato anche su Twitter da Mark Ermolov, un noto ricercatore di sicurezza che è già al lavoro sull'analisi del codice. A quanto pare, Ermolov avrebbe già individuato potenziali problemi di sicurezza, connessi ad alcuni MSR occultati, registri di solito riservati per codice con privilegi elevati. Inoltre, l'analista avrebbe anche trovato la chiave di firma privata usata per Boot Guard, la funzionalità di sicurezza proprietaria di Intel.
In ogni caso, l'impatto di queste scoperte potrebbe essere limitato, infatti la maggior parte dei produttori e fornitori di schede madri dispongono di tool e informazioni simili per lo sviluppo dei propri firmware. Inoltre, Intel ha dichiarato di non nascondere mai informazioni tramite offuscamento come misura di sicurezza, di conseguenza dovrebbe aver già rimosso diversi materiali sensibili prima del rilascio del codice a fornitori esterni. Infine, Intel ha anche invitato ricercatori a sottoporre eventuali vulnerabilità riscontrate nell'ambito del programma di bug bounty. I premi spaziano da 500 a 100.000 dollari a bug.
Infine, non si conosce ancora l'autore del leak, sebbene il repository di GitHub che ospitava il codice sorgente (già rimosso) era stato creato da un dipendente di LC Future Center, un ODM cinese che produce laptop per vari OEM, Lenovo inclusa. Altri elementi puntano a Lenovo, come alcuni documenti che fanno riferimento a "Lenovo Feature Tag Test Information", mentre diversi file presentano l'etichetta "Insyde", riferimento a Insyde Software, un'azienda che fornisce firmware BIOS/UEFI a OEM e che collabora con Lenovo.
Non sembra che al momento sia stato richiesto un riscatto, ma è anche possibile che le aziende coinvolte non abbiano rilasciato dichiarazioni in merito. Un'altra ipotesi è che sia stato l'errore di dipendente che ha pubblicato accidentalmente il codice sorgente in un repository pubblico.