Durante o fim de semana passado, foi descoberto que o possível código fonte da BIOS/UEFI dos processadores Alder Lake da Intel tinha sido roubado, e estava disponível publicamente sobre o GitHub.
O código continha informação associada com os processadores da Intel, e que nas mãos erradas, pode causar alguma preocupação. Apesar de, inicialmente, existirem dúvidas sobre a veracidade deste código, a própria Intel veio agora confirmar o mesmo, indicando que o código é legitimo.
O código começou por ser disponibilizado a partir do 4chan, sendo que estava alojado sobre o GitHub e acessível por qualquer um. O repertório conta com cerca de 5.97GB de tamanho total, e inclui ficheiros de código fonte, chaves privadas, alterações e ferramentas de compilação, que basicamente permite verificar todos os conteúdos da BIOS/UEFI dos processadores.
Acredita-se que este conteúdo pode ter sido roubado diretamente da Intel, seja por um ataque contra a empresa ou as suas afiliadas, ou também sobre a possibilidade que alguma fonte interna da Intel terá acedido ao conteúdo.
O firmware em questão foi desenvolvido pela empresa Insyde Software Corp, e o código divulgado, segundo vários investigadores, possui referências à Lenovo, tendo em conta a integração de nomes como “Lenovo String Service” e “Lenovo Secure Suite”.
Em comunicado ao portal Tom’s Hardware, a Intel confirmou que o código fonte é legitimo e é proprietário da empresa. No entanto, a empresa acredita que a disponibilização deste código fonte não eleva o risco de segurança para a empresa ou para os utilizadores de chips da mesma, uma vez que o código encontra-se disponível como parte da campanha do Project Circuit Breaker, e pode ser usado para o programa de Bug Bounty da mesma.
Apesar de a Intel referir que este código não eleva o risco de segurança para os utilizadores, alguns especialistas de segurança apontam que o mesmo pode levar a serem mais facilmente encontradas vulnerabilidades. Algumas fontes apontam que o código pode ser usado para explorar falhas até agora desconhecidas, e como forma de realizar ataques que não sejam diretamente reportados para a Intel dentro do seu programa de Bug Bounty.
Isto pode tornar-se ainda mais grave caso se venha a confirmar que algumas das chaves privadas, existentes sobre o código, estão realmente a ser usadas em sistemas em produção. Caso isso se verifique, existe o potencial da BIOS/UEFI de milhares de sistemas ser facilmente comprometido com o recurso destas chaves.
Nenhum comentário
Seja o primeiro!