Il codice sorgente di Intel Alder Lake è trapelato su 4chan e Github – come riportato per la prima volta da Tom’s Hardware – come file da 6 GB contenente strumenti e codice sensibili per la creazione e l’ottimizzazione di immagini BIOS/UEFI. Alder Lake si riferisce ai processori di 12a generazione dell’azienda, lanciati nel novembre 2021. Il ricercatore di sicurezza Mark Ermolov, specializzato nella sicurezza dei chip Intel, ha dichiarato: “L’Intel Boot Guard sulle piattaforme del fornitore non è più affidabile”, dopo che la sua chiave di firma privata è stata trovata tra i dati trapelati. Gli esperti di sicurezza hardware affermano che il codice, ora che è stato reso pubblico, sarà esaminato a fondo per individuare potenziali vulnerabilità zero day che consentano agli aggressori di sfruttarlo. Intel ha segnalato alla comunità che tutto il codice trapelato è coperto dal suo programma di bug bounty, nella speranza che i ricercatori di sicurezza facciano la cosa giusta.
Fuga di codice sorgente Intel: Quanto è rischiosa?
Ermolov ha dichiarato a The Stack via Twitter DM che le conseguenze della fuga di notizie includono la potenziale capacità di aggirare il Boot Guard di Intel. Inoltre, offre ai malintenzionati la possibilità di esaminare il codice UEFI, il che significa che gli aggressori potrebbero identificare le funzioni non documentate della CPU, nonché cercare potenziali zero day nell’UEFI per le CPU attuali. Sono trapelati anche gli MSR. Si tratta dell’interfaccia con il microcodice e la maggior parte di esse non è documentata pubblicamente. Non è stato subito chiaro se questa chiave sia stata utilizzata in produzione né come sia trapelato il codice sorgente di Intel. Come riporta Tom’s Hardware: “Il repository GitHub [che ospitava il codice trapelato], ora rimosso ma già ampiamente replicato, è stato creato da un apparente dipendente di LC Future Center, un ODM con sede in Cina che produce computer portatili per diversi OEM, tra cui Lenovo”. Inoltre, uno dei documenti trapelati fa riferimento a “Lenovo Feature Tag Test Information”, alimentando le teorie sul legame tra l’azienda e la fuga di notizie”. Ha aggiunto che studiando le MSR trapelate gli aggressori potrebbero, in teoria, trovare “strutture di debug non documentate per violare le tecnologie di sicurezza delle CPU di Intel, come SGX” – l’onere, ha aggiunto il DM, spetta a Lenovo, che deve confermare che la chiave privata trapelata non è stata utilizzata in produzione, altrimenti ci sarebbe il pericolo della comparsa di impianti UEFI dannosi sui laptop Lenovo che passerebbero inosservati agli utenti finali.
Codice sorgente intel trapelato
Tra i dati che non dovevano essere resi pubblici, Intel ha dichiarato che: “Il nostro codice UEFI proprietario sembra essere stato divulgato da una terza parte. Questo codice è coperto dal nostro programma di bug bounty nell’ambito della campagna Project Circuit Breaker e incoraggiamo i ricercatori che dovessero identificare potenziali vulnerabilità a portarle alla nostra attenzione attraverso questo programma”, ha dichiarato Intel. Il BIOS/UEFI di un computer inizializza l’hardware prima del caricamento del sistema operativo e aiuta a stabilire le connessioni ai meccanismi di sicurezza, come il TPM (Trusted Platform Module) di Intel. Gli attacchi basati su hardware e UEFI sono diventati più comuni negli ultimi anni. In agosto Eclypsium ha pubblicato un’analisi dettagliata dell’approccio del gruppo russo di ransomware Conti alle vulnerabilità del Management Engine “ME” di Intel, il microcontrollore integrato in molti chipset Intel moderni. Come ha osservato Joe FitzPatrick di Securing Hardware, un ricercatore di sicurezza che si occupa di firmware e hardware, a The Stack in una precedente discussione sugli attacchi al firmware: “[In passato] non c’era bisogno di attaccare il firmware, perché il software era già abbastanza vulnerabile. Solo ora che disponiamo di sistemi operativi robusti con archiviazione crittografata, kernel e driver firmati e sandboxing ovunque, qualsiasi attaccante ha bisogno di prendere in considerazione il firmware”. Ha anche detto che gli attacchi al firmware sono stati favoriti dall’omogeneizzazione del firmware: “Una volta ogni versione di ogni scheda madre aveva un bios diverso e c’erano decine di fornitori di bios. Ora, tutto è UEFI, ed enormi porzioni del firmware UEFI sui sistemi sono identiche tra i vari prodotti, spesso con porzioni condivise tra i diversi fornitori. Abbiamo firmware sviluppati con strumenti moderni e abbiamo strumenti per analizzare e modificare i firmware molto più facilmente”, ha dichiarato all’epoca a The Stack via e-mail.
