15Aug

Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows

Lenovo

Peu de gens ont remarqué à l'époque, mais Microsoft a ajouté une nouvelle fonctionnalité à Windows 8 qui permet aux fabricants d'infecter le firmware UEFI avec crapware. Windows continuera à installer et à ressusciter ce logiciel indésirable même après avoir effectué une installation propre.

Cette fonctionnalité continue à être présente sur Windows 10, et il est absolument étonnant que Microsoft donne autant de puissance aux fabricants de PC.Il souligne l'importance d'acheter des PC à partir du Microsoft Store - même effectuer une installation propre ne peut pas se débarrasser de tous les bloatware préinstallés.

WPBT 101

Depuis Windows 8, un fabricant de PC peut intégrer un programme - un fichier Windows. exe, essentiellement - dans le firmware UEFI du PC.Ceci est stocké dans la section "Windows Platform Binary Table"( WPBT) du microprogramme UEFI.Chaque fois que Windows démarre, il examine le microprogramme UEFI de ce programme, le copie du microprogramme sur le lecteur du système d'exploitation et l'exécute. Windows lui-même ne fournit aucun moyen d'empêcher cela. Si le firmware UEFI du fabricant l'offre, Windows l'exécutera sans aucun doute.

LSE de Lenovo et ses trous de sécurité

Il est impossible d'écrire sur cette fonctionnalité discutable sans noter le cas qui l'a porté à l'attention du public. Lenovo a expédié une variété de PC avec ce que l'on appelle le "Lenovo Service Engine"( LSE) activé.Voici ce que Lenovo prétend être une liste complète des PC concernés.

Lorsque le programme est automatiquement exécuté par Windows 8, Lenovo Service Engine télécharge un programme appelé OneKey Optimizer et signale une quantité de données à Lenovo. Lenovo met en place des services système conçus pour télécharger et mettre à jour des logiciels sur Internet, ce qui rend leur suppression impossible. Ils reviendront même automatiquement après une nouvelle installation de Windows.

Lenovo est allé encore plus loin, en étendant cette technique louche à Windows 7. Le microprogramme UEFI vérifie le fichier C: \ Windows \ system32 \ autochk.exe et l'écrase avec la propre version de Lenovo. Ce programme s'exécute au démarrage pour vérifier le système de fichiers sur Windows, et cette astuce permet à Lenovo de faire fonctionner cette pratique désagréable sur Windows 7, aussi. Il va juste à montrer que le WPBT n'est même pas nécessaire - les fabricants de PC pourraient juste avoir leurs firmwares écraser les fichiers système de Windows.

Microsoft et Lenovo ont découvert une faille de sécurité majeure qui pourrait être exploitée, aussi Lenovo a-t-il heureusement cessé d'expédier des PC avec cette ordure méchante. Lenovo propose une mise à jour qui supprimera LSE des PC portables et une mise à jour qui supprimera LSE des PC de bureau. Cependant, ceux-ci ne sont pas téléchargés et installés automatiquement, de sorte que de nombreux ordinateurs Lenovo, probablement les plus affectés, continueront à être installés dans leur microprogramme UEFI.

Ceci est juste un autre problème de sécurité désagréable du fabricant de PC qui nous a apporté des PC infectés par Superfish. On ne sait pas si d'autres fabricants de PC ont abusé du WPBT de la même manière sur certains de leurs PC.

Que dit Microsoft à ce sujet?

Comme le note Lenovo:

"Microsoft a récemment publié des directives de sécurité mises à jour sur la meilleure façon de mettre en œuvre cette fonctionnalité.L'utilisation de LSE par Lenovo n'est pas conforme à ces directives. Lenovo a donc cessé d'expédier des modèles de bureau avec cet utilitaire et recommande aux clients disposant de cet utilitaire d'exécuter un utilitaire de "nettoyage" qui supprime les fichiers LSE du bureau. "

la fonctionnalité Lenovo LSE qui utilise le WPBT pour télécharger des logiciels indésirables à partir d'Internet a été autorisée sous la conception originale de Microsoft et les directives pour la fonctionnalité WPBT.Les lignes directrices ont seulement été affinées.

Microsoft n'offre pas beaucoup d'informations à ce sujet. Il n'y a qu'un seul fichier. docx - pas même une page Web - sur le site Web de Microsoft avec des informations sur cette fonctionnalité.Vous pouvez apprendre tout ce que vous voulez à ce sujet en lisant le document. Il explique la logique de Microsoft pour inclure cette fonctionnalité, en utilisant un logiciel anti-vol persistant comme exemple:

"Le but principal de WPBT est de permettre aux logiciels critiques de persister même lorsque le système d'exploitation a changé ou a été réinstallé dans une configuration" propre ".Un cas d'utilisation de WPBT consiste à activer un logiciel antivol qui doit être conservé au cas où un périphérique a été volé, formaté et réinstallé.Dans ce scénario, la fonctionnalité WPBT permet au logiciel antivol de se réinstaller dans le système d'exploitation et de continuer à fonctionner comme prévu. "

Cette défense de la fonctionnalité n'a été ajoutée au document qu'une fois que Lenovo l'a utilisé à d'autres fins.

Votre PC inclut-il un logiciel WPBT?

Sur les PC utilisant le WPBT, Windows lit les données binaires de la table dans le microprogramme UEFI et les copie dans un fichier nommé wpbbin.exe au démarrage.

Vous pouvez vérifier votre propre PC pour voir si le fabricant a inclus le logiciel dans le WPBT.Pour le savoir, ouvrez le répertoire C: \ Windows \ system32 et recherchez un fichier nommé wpbbin.exe .Le fichier C: \ Windows \ system32 \ wpbbin.exe existe uniquement si Windows le copie à partir du microprogramme UEFI.Si ce n'est pas le cas, le fabricant de votre PC n'a pas utilisé WPBT pour exécuter automatiquement le logiciel sur votre PC.

Éviter WPBT et autres Junkware

Microsoft a mis en place quelques règles supplémentaires pour cette fonctionnalité dans le sillage de l'échec de sécurité irresponsable de Lenovo. Mais il est déconcertant que cette fonctionnalité existe même en premier lieu - et surtout déconcertant que Microsoft le fournirait aux fabricants de PC sans aucune exigence de sécurité claire ou des directives sur son utilisation.

Les directives révisées demandent aux OEM de s'assurer que les utilisateurs peuvent réellement désactiver cette fonctionnalité s'ils ne le veulent pas, mais les directives de Microsoft n'ont pas empêché les fabricants de PC d'abuser de la sécurité de Windows par le passé.Témoin Samsung expédiant des PC avec Windows Update désactivé parce que cela a été plus facile que de travailler avec Microsoft pour s'assurer que les pilotes appropriés ont été ajoutés à Windows Update.

Ceci est encore un autre exemple de fabricants de PC ne prenant pas la sécurité de Windows au sérieux. Si vous envisagez d'acheter un nouveau PC Windows, nous vous recommandons d'en acheter un sur le Microsoft Store, Microsoft se soucie de ces PC et s'assure qu'ils n'ont pas de logiciels nuisibles comme Superfish de Lenovo, Disable_WindowsUpdate.exe de Samsung, la fonction LSE de Lenovo,et tous les autres déchets d'un PC typique pourrait venir avec.

Quand nous avons écrit ceci dans le passé, beaucoup de lecteurs ont répondu que c'était inutile parce que vous pouviez toujours effectuer une installation propre de Windows pour se débarrasser de tout bloatware. Eh bien, apparemment ce n'est pas vrai - le seul moyen infaillible pour obtenir un PC Windows sans bloatware est de Microsoft Store.Ça ne devrait pas être comme ça, mais ça l'est.

Ce qui est particulièrement troublant avec le WPBT, ce n'est pas seulement l'échec complet de Lenovo à l'utiliser pour faire des failles de sécurité et des logiciels indésirables dans des installations propres de Windows. Ce qui est particulièrement inquiétant, c'est que Microsoft fournisse des fonctionnalités comme celle-ci aux fabricants de PC en premier lieu - en particulier sans limitations ou conseils appropriés.

Il a fallu plusieurs années avant que cette fonctionnalité ne soit remarquée dans le monde de la technologie au sens large, et cela uniquement en raison d'une vulnérabilité de sécurité désagréable. Qui sait ce que d'autres fonctionnalités désagréables sont cuites dans Windows pour les fabricants de PC à abuser. Les fabricants de PC font glisser la réputation de Windows à travers la boue et Microsoft a besoin de les contrôler.

Crédit d'image: Cory M. Grenier sur Flickr