Volgens website BleepingComputer is de broncode van het BIOS van Intel Alder Lake-processors onlangs gelekt. Intel heeft het lek inmiddels bevestigd.

Volgens de techwebsite is er vorige week een bestand van 6 GB aan data met de broncode van het BIOS van Intel Alder Lake-processors gepubliceerd op 4chan en GitHub. De gelekte data bevatten diverse tools en code voor het bouwen en optimaliseren van BIOS/UEFI images. Deze bestanden starten de hardware op voordat het besturingssysteem wordt geladen. Onder meer zorgen de bestanden voor het opzetten van de verbindingen met securitymechanismes als TPM.

Intel heeft de hackaanval inmiddels bevestigd en geeft aan dat de broncode voor het Alder Lake BIOS inderdaad is gelekt. Volgens de chipgigant leidt dit niet tot nieuwe securitykwetsbaarheden. De broncode was al beschikbaar voor het bug bounty-programma binnen de Project Circuit Breaker-campagne.

Wel waarschuwt Intel dat niet alleen goedwillende maar ook kwaadwillende partijen de code nu kunnen gebruiken en dus misbruiken. Cybercriminelen zullen volgens de chipgigant de code onderzoeken op mogelijke backdoors en kwetsbaarheden.

Lek mogelijk bij Lenovo

Het is niet bekend hoe het lek van de broncode heeft plaatsgevonden en wie daarvoor verantwoordelijk is. De inmiddels verwijderde maar gekopieerde GitHub repository was aangemaakt door een werknemer van de Chinese fabrikant LC Future Center. Dit bedrijf maakt laptops voor original equipment manufacturers (OEM’s) als Lenovo.

Ook refereert één van de gelekte documenten aan ‘Lenovo Feature Tag Test Information’. Verder zouden er veel bestanden in de gelekte informatie refereren aan het bedrijf Insyde Software. Ook dit bedrijf levert BIOS/UEFI firmware aan fabrikant Lenovo.

Onderzoek Ermolov

Op dit moment zijn er nog geen exploits van de BIOS-broncode bekend en wordt de impact als beperkt gezien. Wel heeft security-onderzoeker Mark Ermolov de code aan een onderzoek onderworpen. Hij heeft hierin onder meer geheime Model Specific Registers (MRS) gevonden voor privileged code, wat een securityprobleem kan veroorzaken.

Ook vond Ermolov een private singing key voor Intel Boot Guard. Verder zijn er tekenen voor Authenticated Code Modules (ACM’s) voor Intel BootGuard en Trust Execution Technology (TXT) gevonden, zo geeft de security-onderzoeker aan. Deze kunnen in de toekomst mogelijk problemen opleveren voor de ‘root of trust’.

Aanvallen op chipfabrikanten via derde partijen zijn steeds vaker aan de orde. Eerder kregen AMD, Gigabyte en Nvidia met dit soort aanvallen te maken.

Tip: AMD mogelijk getroffen door hackaanval van RansomHouse