{"id":165220,"date":"2015-08-15T01:30:00","date_gmt":"2015-08-14T23:30:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=165220"},"modified":"2025-01-15T16:59:29","modified_gmt":"2025-01-15T15:59:29","slug":"backdoor-windows-platform-binary-table-wpbt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/08\/15\/backdoor-windows-platform-binary-table-wpbt\/","title":{"rendered":"Backdoor ‘Windows Platform Binary Table’ (WPBT)"},"content":{"rendered":"

\"\"[English<\/a>]Diese Woche ging die Meldung \u00fcber die Lenovo Service Engine, die sogar eine Windows-Neuinstallation \u00fcberlebt, durchs Internet. Nachdem sich der \"Staub\" gelegt hat und die Karawane weiter gezogen ist, soll noch ein Blick unter den Teppich geworfen werden \u2013 denn die \"Lenovo-Backdoors mit Root-Kit\" sitzen imho \u00fcberall \u2026<\/p>\n

<\/p>\n

\"\"\u00dcber das Lenovo-Thema hatte ich im Blog-Beitrag Lenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a> kurz berichtet. Da momentan hier Windows 10-Troubleshooting angesagt ist, habe ich das Thema liegen lassen. Aber Blog-Leser Michael Bormann hat mich erneut auf das Thema aufmerksam gemacht. Lenovo ist lediglich mit den Fingern im Honigtopf erwischt worden. Das Problem sitzt tiefer und hat einen Namen: \"Windows-Rechner\".<\/p>\n

Ach wie gut, das niemand wei\u00df, dass ich Rumpelstilzchen hei\u00df \u2026<\/h3>\n

Im Arstechnica-Forum<\/a>, wo der Fall aufpoppte, hat jemand die Info nachgeschoben, dass Microsoft die Basics in Windows 8 angelegt hat. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument<\/a> detailliert beschrieben. Hier das Abstract des l\u00e4nglichen Dokuments.<\/p>\n

A platform can be provisioned with the Windows operating system by entities including an enterprise, a system reseller, or an end-user customer. If the platform has drivers, system services, or executable files that are integral to the platform, the platform binaries must either be distributed as part of the Windows image or they must be injected into the Windows image by each of the possible provisioning entities. A rich set of tools exist to aid Windows provisioning, ranging from driver injection and offline registry management to sysprep imaging tools. However, there is a small set of software where the tools are not enough. The software is absolutely critical for the execution of Windows but for one reason or another, the vendor is unable to distribute the software to every provisioning entity. This paper describes a mechanism for a platform, via the boot firmware, to publish a binary to Windows for execution. The mechanism leverages a boot firmware component to publish a binary in physical memory described to Windows using a fixed ACPI table.<\/p>\n

The information provided here was originally published in conjunction with the availability of Windows 8. The guidance and requirements to use WPBT functionality has been updated for the Windows 10 timeframe.<\/p><\/blockquote>\n

Mit WPBT wird die M\u00f6glichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI f\u00e4llt auch darunter), Code auszuf\u00fchren, um Windows-Betriebssysteme zu manipulieren. Urspr\u00fcngliche Idee war, dass OEMs die M\u00f6glichkeit haben sollten, Updates \u2013 unabh\u00e4ngig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat \u2013 vorzunehmen. Lenovo nutzte das, um einen eigenen Updater in den Windows-Autostart einzubinden, egal was der Nutzer machte.<\/p>\n

Und hier<\/a> findet sich der Hinweis, das HP und Dell dies verwenden, um \u00fcber die Funktionstaste [F6] Treiber aus dem BIOS in ein Windows zu injizieren. Andererseits vermelden meine Quellen, dass derartiges bei HP und\/oder Dell z.Z. genutzt wird. Die von Intel mal 2012 eingef\u00fchrte, aber im Januar 2015 eingestellte Anti Theft-Technologie (siehe<\/a>) arbeitet wie das ehemalige Computrace und greift auf BIOS-ROMs zur\u00fcck. Selbst unter Windows 7 und \u00e4lteren BIOS-Varianten scheint der Ansatz \u00fcber Code-Injection via ACPI-Table-Eintr\u00e4ge und den IRQ 15 nutzbar zu sein (das Microsoft-Dokument referenziert dies, aber etwas schwammiger). Lediglich unter Linux \"w\u00e4r das (bisher) nicht passiert\", da man mit Windows-Binaries noch wenig anfangen kann.<\/p>\n

Die Implikationen \u2026<\/h3>\n

Der Ansatz hat nun gleich mehrere Implikationen. Einmal hatte ich im Blog-Beitrag Lenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a> darauf hingewiesen, dass diese Backdoor Sicherheitsl\u00fccken aufrei\u00dft. Lenovo war bereits zum Patchen gezwungen und \"will die Methode\" nicht mehr nutzen (siehe Lenovo Service Engine (LSE) BIOS Vulnerability. Hier wird das<\/a> auch noch nochmals als Sicherheitsthema angerissen.<\/p>\n

Zweite Implikation: Es soll Leute geben, die besorgt sind, dass die NSA Abh\u00f6rchips in die Hardware implementiert, die selbst eine Windows Neuinstallation \u00fcberstehen. Da gibt es auf Hacker-Veranstaltungen auch entsprechende Beitr\u00e4ge \u2013 unter dem aktuellen Gesichtspunkt kann ich nur sagen ROFL. Allerdings sollte man fairerweise erw\u00e4hnen, dass der Mechanismus unter anderem Gesichtspunkt auf der Blackhat 2014<\/a> von Kaspersky erw\u00e4hnt wurde. Das Thema kam da im Hinblick auf Diebstahlschutz auf, der auf gekauften Maschinen \u00fcber diesen Mechanismus injiziert wurde \u2026<\/p>\n

Und die letzte Implikation: Man kann aktueller Hardware nicht mehr trauen! Die Wirrungen in meinem alten Blog-Beitrag BSI warnt doch nicht vor Windows 8<\/a> bekommen jetzt eine andere Bedeutung. Das BSI hat da in meinen Augen gekniffen und ist zur Tagesordnung \u00fcbergegangen. Jetzt kommen die Folgen ans Licht \u2013 und die wollen im Bundestag das Netzwerk mit neuer Hardware neu aufsetzen \u2026<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDie Bundesregierung warnt vor Windows 8
\nBSI warnt doch nicht vor Windows 8<\/a>
\nLenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a>
\nLenovo Ger\u00e4te mit Superfish-Adware verseucht<\/a>
\nAvast nutzt auch den 'Superfish-Ansatz' bei Mail Shield<\/a>
\nSuperfish-Internals \u2013 versagen Defender und Removal Tools?<\/a>
\nSuperfish: Sammelklage gegen Lenovo<\/a>
\nLenovos Post-Superfish-Aera: 'Weniger ist mehr'<\/a>
\nNeues zu Privdog, Superfish, D-Link-L\u00fccke und mehr<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Diese Woche ging die Meldung \u00fcber die Lenovo Service Engine, die sogar eine Windows-Neuinstallation \u00fcberlebt, durchs Internet. Nachdem sich der \"Staub\" gelegt hat und die Karawane weiter gezogen ist, soll noch ein Blick unter den Teppich geworfen werden \u2013 denn … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-165220","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/165220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=165220"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/165220\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=165220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=165220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=165220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}