15Aug

Zombie Crapware: Wie funktioniert die Windows-Plattform-Binär-Tabelle?

Lenovo

Nur wenige haben es bemerkt, aber Microsoft hat Windows 8 eine neue Funktion hinzugefügt, mit der Hersteller die UEFI-Firmware mit Crapware infizieren können. Windows wird diese Junk-Software auch nach einer Neuinstallation weiterhin installieren und wiederbeleben.

Diese Funktion ist unter Windows 10 weiterhin vorhanden und es ist absolut verwunderlich, warum Microsoft den PC-Herstellern so viel Macht geben würde. Es unterstreicht, wie wichtig es ist, PCs aus dem Microsoft Store zu kaufen - selbst wenn eine Neuinstallation durchgeführt wird, werden möglicherweise nicht alle vorinstallierten Bloatware entfernt.

WPBT 101

Ab Windows 8 kann ein PC-Hersteller ein Programm - im Wesentlichen eine Windows-EXE-Datei - in die UEFI-Firmware des PCs einbetten. Dies wird im Abschnitt "Windows Platform Binary Table"( WPBT) der UEFI-Firmware gespeichert. Wenn Windows startet, schaut es sich die UEFI-Firmware für dieses Programm an, kopiert es von der Firmware auf das Betriebssystemlaufwerk und führt es aus. Windows selbst bietet keine Möglichkeit, dies zu verhindern. Wenn die UEFI-Firmware des Herstellers es anbietet, wird Windows es ohne Frage ausführen.

Lenovo's LSE und seine Sicherheitslöcher

Es ist unmöglich, über dieses fragwürdige Feature zu schreiben, ohne den Fall zu erwähnen, der es in die öffentliche Aufmerksamkeit gerückt hat. Lenovo hat eine Vielzahl von PCs mit der so genannten "Lenovo Service Engine"( LSE) ausgeliefert. Lenovo behauptet, dass dies eine vollständige Liste der betroffenen PCs ist.

Wenn das Programm automatisch von Windows 8 ausgeführt wird, lädt die Lenovo Service Engine ein Programm namens OneKey Optimizer herunter und meldet einige Daten an Lenovo zurück. Lenovo richtet Systemdienste ein, die darauf ausgelegt sind, Software aus dem Internet herunterzuladen und zu aktualisieren, sodass sie nicht entfernt werden können - sie werden nach einer Neuinstallation von Windows sogar automatisch zurückkommen.

Lenovo ging noch weiter und erweiterte diese zwielichtige Technik auf Windows 7. Die UEFI-Firmware überprüft die Datei C: \ Windows \ system32 \ autochk.exe und überschreibt sie mit Lenovos eigener Version. Dieses Programm wird beim Booten ausgeführt, um das Dateisystem unter Windows zu überprüfen, und dieser Trick ermöglicht es Lenovo, diese scheußliche Übung auch unter Windows 7 zu verwenden. Es zeigt nur, dass das WPBT nicht einmal notwendig ist - PC-Hersteller könnten einfach ihre Firmwares Windows-Systemdateien überschreiben lassen.

Microsoft und Lenovo haben dabei eine große Sicherheitslücke entdeckt, die ausgenutzt werden kann, weshalb Lenovo glücklicherweise aufgehört hat, PCs mit diesem fiesen Müll zu versenden. Lenovo bietet ein Update an, das LSE von Notebook-PCs entfernt und ein Update, das LSE von Desktop-PCs entfernt. Diese werden jedoch nicht automatisch heruntergeladen und installiert. Bei vielen - wahrscheinlich am stärksten betroffenen - Lenovo PCs wird dieser Junk weiterhin in der UEFI-Firmware installiert.

Dies ist nur ein weiteres ekliges Sicherheitsproblem vom PC-Hersteller, das uns PCs brachte, die mit Superfish infiziert waren. Es ist unklar, ob andere PC-Hersteller die WPBT auf einigen ihrer PCs in ähnlicher Weise missbraucht haben.

Was sagt Microsoft dazu?

Wie Lenovo bemerkt:

"Microsoft hat kürzlich aktualisierte Sicherheitsrichtlinien veröffentlicht, wie diese Funktion am besten implementiert werden kann. Die Verwendung von LSE durch Lenovo stimmt nicht mit diesen Richtlinien überein. Daher hat Lenovo die Auslieferung von Desktopmodellen mit diesem Dienstprogramm eingestellt und empfiehlt Kunden, bei denen dieses Dienstprogramm aktiviert ist, ein Dienstprogramm zum Bereinigen auszuführen, das die LSE-Dateien vom Desktop entfernt. "

Die Lenovo LSE-Funktion, die das WPBT zum Herunterladen von Junkware aus dem Internet verwendet, wurde unter dem ursprünglichen Design und den Richtlinien von Microsoft für die WPBT-Funktion zugelassen. Die Richtlinien wurden erst jetzt verfeinert.

Microsoft bietet nicht viele Informationen dazu. Es gibt nur eine einzige. docx-Datei - nicht einmal eine Webseite - auf der Microsoft-Website mit Informationen zu dieser Funktion. Sie können alles darüber lernen, indem Sie das Dokument lesen. Es erklärt Microsoft Gründe für die Aufnahme dieser Funktion am Beispiel einer dauerhaften Anti-Diebstahl-Software:

"Der Hauptzweck von WPBT ist es, kritische Software zu erhalten, selbst wenn das Betriebssystem geändert oder in einer" sauberen "Konfiguration neu installiert wurde. Ein Anwendungsfall für WPBT ist die Aktivierung von Diebstahlschutzsoftware, die erforderlich ist, wenn ein Gerät gestohlen, formatiert und erneut installiert wurde. In diesem Szenario bietet die WPBT-Funktionalität die Möglichkeit, dass sich die Anti-Diebstahl-Software erneut im Betriebssystem installiert und weiterhin wie vorgesehen funktioniert. "

Diese Verteidigung des Features wurde dem Dokument nur hinzugefügt, nachdem Lenovo es für andere Zwecke verwendet hat.

Enthält Ihr PC WPBT-Software?

Auf PCs, die den WPBT verwenden, liest Windows die Binärdaten aus der Tabelle in der UEFI-Firmware und kopiert sie beim Booten in eine Datei namens wpbbin.exe.

Sie können Ihren eigenen PC überprüfen, um festzustellen, ob der Hersteller Software in das WPBT aufgenommen hat. Um das herauszufinden, öffnen Sie das Verzeichnis C: \ Windows \ system32 und suchen Sie nach einer Datei namens wpbbin.exe .Die Datei C: \ Windows \ system32 \ wpbbin.exe ist nur vorhanden, wenn Windows sie von der UEFI-Firmware kopiert. Wenn es nicht vorhanden ist, hat Ihr PC-Hersteller WPBT nicht verwendet, um automatisch Software auf Ihrem PC auszuführen.

WPBT und andere Junkware vermeiden

Microsoft hat nach dem unverantwortlichen Sicherheitsversagen von Lenovo einige weitere Regeln für diese Funktion eingeführt. Aber es ist verblüffend, dass dieses Feature sogar überhaupt existiert - und besonders verwirrend, dass Microsoft es PC-Herstellern ohne klare Sicherheitsanforderungen oder Richtlinien für seine Verwendung zur Verfügung stellen würde.

Die überarbeiteten Richtlinien weisen OEMs an, sicherzustellen, dass Benutzer diese Funktion tatsächlich deaktivieren können, wenn sie dies nicht möchten, aber die Richtlinien von Microsoft haben die PC-Hersteller nicht davon abgehalten, die Windows-Sicherheit in der Vergangenheit zu missbrauchen. Zeuge, dass Samsung PCs mit Windows Update deaktiviert hat, weil das einfacher war als die Arbeit mit Microsoft, um sicherzustellen, dass die richtigen Treiber zu Windows Update hinzugefügt wurden.

Dies ist ein weiteres Beispiel für PC-Hersteller, die Windows-Sicherheit nicht ernst nehmen. Wenn Sie einen neuen Windows-PC kaufen möchten, empfehlen wir Ihnen, einen im Microsoft Store zu kaufen. Microsoft kümmert sich wirklich um diese PCs und stellt sicher, dass sie keine schädliche Software wie Lenovo's Superfish, Disable_WindowsUpdate.exe von Samsung, Lenovo's LSE-Funktion,und all der andere Kram, mit dem ein typischer PC kommen könnte.

Als wir dies in der Vergangenheit schrieben, antworteten viele Leser, dass dies unnötig sei, weil man immer nur eine Neuinstallation von Windows durchführen könne, um alle Bloatware loszuwerden. Nun, anscheinend stimmt das nicht - der einzige todsichere Weg, einen Bloatware-freien Windows-PC zu bekommen, stammt aus dem Microsoft Store. Es sollte nicht so sein, aber es ist so.

Was den WPBT besonders beunruhigt, ist nicht nur das vollständige Versagen von Lenovo bei der Verwendung von Sicherheitslücken und Junkware bei Neuinstallationen von Windows. Besonders besorgniserregend ist, dass Microsoft PC-Herstellern solche Funktionen in erster Linie bietet - insbesondere ohne entsprechende Einschränkungen oder Anleitungen.

Es hat auch einige Jahre gedauert, bis dieses Feature in der breiteren Techwelt auffiel, und das nur aufgrund einer unangenehmen Sicherheitslücke. Wer weiß, welche anderen fiesen Funktionen in Windows eingebaut sind, damit PC-Hersteller sie missbrauchen können? PC-Hersteller ziehen die Reputation von Windows durch den Dreck und Microsoft muss sie unter Kontrolle bringen.

Bildquelle: Cory M. Grenier auf Flickr