Diese Woche ging die Meldung über die Lenovo Service Engine, die sogar eine Windows-Neuinstallation überlebt, durchs Internet. Nachdem sich der "Staub" gelegt hat und die Karawane weiter gezogen ist, soll noch ein Blick unter den Teppich geworfen werden – denn die "Lenovo-Backdoors mit Root-Kit" sitzen imho überall …
Anzeige
Über das Lenovo-Thema hatte ich im Blog-Beitrag Lenovo Service Engine (LSE) – Superfish reloaded II kurz berichtet. Da momentan hier Windows 10-Troubleshooting angesagt ist, habe ich das Thema liegen lassen. Aber Blog-Leser Michael Bormann hat mich erneut auf das Thema aufmerksam gemacht. Lenovo ist lediglich mit den Fingern im Honigtopf erwischt worden. Das Problem sitzt tiefer und hat einen Namen: "Windows-Rechner".
Ach wie gut, das niemand weiß, dass ich Rumpelstilzchen heiß …
Im Arstechnica-Forum, wo der Fall aufpoppte, hat jemand die Info nachgeschoben, dass Microsoft die Basics in Windows 8 angelegt hat. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument detailliert beschrieben. Hier das Abstract des länglichen Dokuments.
A platform can be provisioned with the Windows operating system by entities including an enterprise, a system reseller, or an end-user customer. If the platform has drivers, system services, or executable files that are integral to the platform, the platform binaries must either be distributed as part of the Windows image or they must be injected into the Windows image by each of the possible provisioning entities. A rich set of tools exist to aid Windows provisioning, ranging from driver injection and offline registry management to sysprep imaging tools. However, there is a small set of software where the tools are not enough. The software is absolutely critical for the execution of Windows but for one reason or another, the vendor is unable to distribute the software to every provisioning entity. This paper describes a mechanism for a platform, via the boot firmware, to publish a binary to Windows for execution. The mechanism leverages a boot firmware component to publish a binary in physical memory described to Windows using a fixed ACPI table.
The information provided here was originally published in conjunction with the availability of Windows 8. The guidance and requirements to use WPBT functionality has been updated for the Windows 10 timeframe.
Mit WPBT wird die Möglichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI fällt auch darunter), Code auszuführen, um Windows-Betriebssysteme zu manipulieren. Ursprüngliche Idee war, dass OEMs die Möglichkeit haben sollten, Updates – unabhängig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat – vorzunehmen. Lenovo nutzte das, um einen eigenen Updater in den Windows-Autostart einzubinden, egal was der Nutzer machte.
Und hier findet sich der Hinweis, das HP und Dell dies verwenden, um über die Funktionstaste [F6] Treiber aus dem BIOS in ein Windows zu injizieren. Andererseits vermelden meine Quellen, dass derartiges bei HP und/oder Dell z.Z. genutzt wird. Die von Intel mal 2012 eingeführte, aber im Januar 2015 eingestellte Anti Theft-Technologie (siehe) arbeitet wie das ehemalige Computrace und greift auf BIOS-ROMs zurück. Selbst unter Windows 7 und älteren BIOS-Varianten scheint der Ansatz über Code-Injection via ACPI-Table-Einträge und den IRQ 15 nutzbar zu sein (das Microsoft-Dokument referenziert dies, aber etwas schwammiger). Lediglich unter Linux "wär das (bisher) nicht passiert", da man mit Windows-Binaries noch wenig anfangen kann.
Anzeige
Die Implikationen …
Der Ansatz hat nun gleich mehrere Implikationen. Einmal hatte ich im Blog-Beitrag Lenovo Service Engine (LSE) – Superfish reloaded II darauf hingewiesen, dass diese Backdoor Sicherheitslücken aufreißt. Lenovo war bereits zum Patchen gezwungen und "will die Methode" nicht mehr nutzen (siehe Lenovo Service Engine (LSE) BIOS Vulnerability. Hier wird das auch noch nochmals als Sicherheitsthema angerissen.
Zweite Implikation: Es soll Leute geben, die besorgt sind, dass die NSA Abhörchips in die Hardware implementiert, die selbst eine Windows Neuinstallation überstehen. Da gibt es auf Hacker-Veranstaltungen auch entsprechende Beiträge – unter dem aktuellen Gesichtspunkt kann ich nur sagen ROFL. Allerdings sollte man fairerweise erwähnen, dass der Mechanismus unter anderem Gesichtspunkt auf der Blackhat 2014 von Kaspersky erwähnt wurde. Das Thema kam da im Hinblick auf Diebstahlschutz auf, der auf gekauften Maschinen über diesen Mechanismus injiziert wurde …
Und die letzte Implikation: Man kann aktueller Hardware nicht mehr trauen! Die Wirrungen in meinem alten Blog-Beitrag BSI warnt doch nicht vor Windows 8 bekommen jetzt eine andere Bedeutung. Das BSI hat da in meinen Augen gekniffen und ist zur Tagesordnung übergegangen. Jetzt kommen die Folgen ans Licht – und die wollen im Bundestag das Netzwerk mit neuer Hardware neu aufsetzen …
Ähnliche Artikel:
Die Bundesregierung warnt vor Windows 8
BSI warnt doch nicht vor Windows 8
Lenovo Service Engine (LSE) – Superfish reloaded II
Lenovo Geräte mit Superfish-Adware verseucht
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Superfish-Internals – versagen Defender und Removal Tools?
Superfish: Sammelklage gegen Lenovo
Lenovos Post-Superfish-Aera: 'Weniger ist mehr'
Neues zu Privdog, Superfish, D-Link-Lücke und mehr
Anzeige
Diese Art von Backdoor hat ja eigentlich nichts negatives. Das wird häufig benutzt um nach einen Neuaufsetzen eine Passwortabfrage zu realisieren. Ich denke hier wird übertrieben. Ärgerlich wird es nur wenn Herrsteller das Feature für Adware einsetzen.
Es gibt Nachrichten zur ACPI WPBT-Tabelle:
Everyone Gets a Rootkit
https://eclypsium.com/2021/09/23/everyone-gets-a-rootkit/
Danke, hab das noch auf der Agenda (und den Artikel hier im Hinterkopf) – bin vor einigen Tagen drüber gestolpert.