英特尔确认Alder Lake BIOS源代码已泄露

据Bleeping Computer 10月9日消息，英特尔已向知名硬件网站Tom's Hardware确认了其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码已经泄露。

英特尔表示：“我们的专有 UEFI 代码似乎已被第三方泄露，但我们认为这不会暴露任何新的安全漏洞，因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中，我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络，让他们了解事件情况。”

10月7日，名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接，并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库，该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”，总大小 5.97 GB，包括源代码、私钥、日志和编译工具，最新的时间戳显示是 2022 年 9 月 30 日，可能是黑客或内部人员复制了数据。

BleepingComputer 被告知，所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容，包括联想字符串服务、联想安全套件和联想云服务集成代码。

目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。

尽管英特尔淡化了源代码泄漏的安全风险，但安全研究人员警告称，这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为，即使被泄露的OEM只部分用于生产中，攻击者及漏洞猎手也能从中找出破绽，比如Insyde解决方案漏洞，并能轻松进行逆向工程，这将长期增加用户的使用风险。

Positive Technologies 硬件研究员 Mark Ermolov 也警告称，泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest，如果该私钥用于实际生产，攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。

BleepingComputer 已联系英特尔、Insyde 和联想，询问有关泄漏以及私钥是否在生产中使用的相关问题。