15Aug
Weinig mensen merkten op dat moment, maar Microsoft heeft een nieuwe functie toegevoegd aan Windows 8 waarmee fabrikanten de UEFI-firmware met crapware kunnen infecteren. Windows blijft deze rommel-software installeren en opnieuw genereren, zelfs nadat u een schone installatie hebt uitgevoerd.
Deze functie blijft aanwezig op Windows 10 en het is absoluut raadselachtig waarom Microsoft pc-fabrikanten zoveel stroom zou geven. Het benadrukt het belang van het kopen van pc's in de Microsoft Store - zelfs als een schone installatie wordt uitgevoerd, raken wellicht niet alle vooraf geïnstalleerde bloatware verwijderd.
WPBT 101
Vanaf Windows 8 kan een pc-fabrikant een programma insluiten - een Windows. exe-bestand, hoofdzakelijk - in de UEFI-firmware van de pc. Dit wordt opgeslagen in de sectie "Windows Platform Binary Table"( WPBT) van de UEFI-firmware. Telkens wanneer Windows opstart, kijkt het naar de UEFI-firmware voor dit programma, kopieert het van de firmware naar het station van het besturingssysteem en voert het uit. Windows zelf biedt geen manier om dit te voorkomen. Als de UEFI-firmware van de fabrikant dit aanbiedt, zal Windows het zonder vragen uitvoeren.
Lenovo's LSE en de beveiligingsgaten
Het is onmogelijk om over deze dubieuze functie te schrijven zonder de zaak te vermelden die hem onder de aandacht bracht. Lenovo heeft een verscheidenheid aan pc's geleverd met zoiets als de "Lenovo Service Engine"( LSE) ingeschakeld. Hier is wat Lenovo beweert is een complete lijst van getroffen pc's.
Wanneer het programma automatisch wordt uitgevoerd door Windows 8, downloadt de Lenovo Service Engine een programma met de naam OneKey Optimizer en rapporteert een bepaalde hoeveelheid gegevens aan Lenovo. Lenovo introduceert systeemservices die zijn ontworpen om software van internet te downloaden en bij te werken, waardoor het onmogelijk wordt om ze te verwijderen - ze komen zelfs automatisch terug na een schone installatie van Windows.
Lenovo ging nog verder en breidde deze schaduwtechniek uit naar Windows 7. De UEFI-firmware controleert het bestand C: \ Windows \ system32 \ autochk.exe en overschrijft dit met de eigen versie van Lenovo. Dit programma wordt tijdens het opstarten uitgevoerd om het bestandssysteem op Windows te controleren. Met deze truc kan Lenovo deze vervelende praktijk ook op Windows 7 laten werken. Het laat alleen maar zien dat de WPBT niet eens nodig is - pc-fabrikanten kunnen hun firmware alleen Windows-systeembestanden laten overschrijven.
Microsoft en Lenovo hebben hiermee een groot beveiligingsrisico ontdekt dat kan worden uitgebuit, dus Lenovo is gelukkig gestopt met het verzenden van pc's met deze vervelende rommel. Lenovo biedt een update die LSE van notebook pc's zal verwijderen en een update die LSE van desktop pc's zal verwijderen. Deze worden echter niet automatisch gedownload en geïnstalleerd, dus veel - waarschijnlijk de meeste - getroffen Lenovo-pc's zullen deze rommel blijven installeren in hun UEFI-firmware.
Dit is gewoon een ander vervelende beveiligingsprobleem van de pc-fabrikant die ons PC's geïnfecteerd met Superfish heeft gebracht. Het is onduidelijk of andere pc-fabrikanten de WPBT op een vergelijkbare manier hebben misbruikt op sommige van hun pc's.
Wat zegt Microsoft hierover?
Zoals Lenovo opmerkt:
"Microsoft heeft onlangs bijgewerkte beveiligingsrichtlijnen gepubliceerd over hoe deze functie het beste kan worden geïmplementeerd. Het gebruik van LSE door Lenovo is niet in overeenstemming met deze richtlijnen en daarom is Lenovo gestopt met het verzenden van desktopmodellen met dit hulpprogramma en raadt klanten met dit hulpprogramma een hulpprogramma "opruimen" aan dat de LSE-bestanden van het bureaublad verwijdert. "
Met andere woorden,de Lenovo LSE-functie die de WPBT gebruikt om junkware van internet te downloaden was toegestaan volgens het oorspronkelijke ontwerp en de richtlijnen voor de WPBT-functie van Microsoft. De richtlijnen zijn nu pas verfijnd.
Microsoft biedt hier niet veel informatie over. Er is slechts één. docx-bestand - zelfs geen webpagina - op de website van Microsoft met informatie over deze functie. Je kunt er alles over leren door het document te lezen. Dit verklaart de redenering van Microsoft om deze functie op te nemen, met behulp van permanente antidiefstalsoftware als voorbeeld:
"Het primaire doel van WPBT is om kritische software aan te houden, zelfs wanneer het besturingssysteem is gewijzigd of opnieuw is geïnstalleerd in een" schone "configuratie. Eén gebruik van WPBT is het inschakelen van antidiefstalsoftware die moet worden voortgezet in het geval een apparaat is gestolen, geformatteerd en opnieuw is geïnstalleerd. In dit scenario biedt de WPBT-functionaliteit de mogelijkheid voor de antidiefstal-software om zichzelf opnieuw in het besturingssysteem te installeren en te blijven werken zoals bedoeld. "
Deze verdediging van de functie is alleen aan het document toegevoegd nadat Lenovo het voor andere doeleinden had gebruikt.
Bevat uw pc WPBT-software?
Op pc's die de WPBT gebruiken, leest Windows de binaire gegevens uit de tabel in de UEFI-firmware en kopieert deze tijdens het opstarten naar een bestand met de naam wpbbin.exe.
U kunt uw eigen pc controleren om te zien of de fabrikant software in de WPBT heeft opgenomen. Open hiervoor de map C: \ Windows \ system32 en zoek naar een bestand met de naam wpbbin.exe .Het bestand C: \ Windows \ system32 \ wpbbin.exe bestaat alleen als Windows het kopieert van de UEFI-firmware. Als dit niet aanwezig is, heeft uw pc-fabrikant WPBT niet gebruikt om automatisch software op uw pc uit te voeren.
WPBT en andere junkware vermijden
Microsoft heeft nog enkele regels opgesteld voor deze functie na Lenovo's onverantwoordelijke beveiligingsstoring. Maar het is verbijsterend dat deze functie zelfs in de eerste plaats bestaat - en vooral verbijsterend dat Microsoft deze zou verschaffen aan pc-fabrikanten zonder duidelijke beveiligingsvereisten of richtlijnen voor het gebruik ervan.
De herziene richtlijnen instrueren OEM's om ervoor te zorgen dat gebruikers deze functie daadwerkelijk kunnen uitschakelen als ze dat niet willen, maar de richtlijnen van Microsoft hebben pc-fabrikanten in het verleden niet belet misbruik te maken van Windows-beveiliging. Wees getuige van het verzenden van pc's van Samsung waarop Windows Update was uitgeschakeld omdat dat eenvoudiger was dan met Microsoft werken om ervoor te zorgen dat de juiste stuurprogramma's werden toegevoegd aan Windows Update.
Dit is nog een ander voorbeeld van pc-fabrikanten die Windows-beveiliging niet serieus nemen. Als u van plan bent een nieuwe Windows-pc aan te schaffen, raden we u aan er een te kopen in de Microsoft Store, Microsoft geeft echt om deze pc's en zorgt ervoor dat ze geen schadelijke software hebben zoals Lenovo's Superfish, Samsung's Disable_WindowsUpdate.exe, Lenovo's LSE-functie,en alle andere rommel die een standaard pc kan bevatten.
Toen we dit in het verleden schreven, antwoordden veel lezers dat dit niet nodig was omdat je altijd gewoon een schone installatie van Windows kon uitvoeren om bloatware kwijt te raken. Nou, blijkbaar is dat niet waar - de enige onfeilbare manier om een bloatware-vrije Windows-pc te krijgen is van de Microsoft Store. Het zou niet zo moeten zijn, maar dat is het wel.
Wat bijzonder verontrustend is aan de WPBT is niet alleen de complete mislukking van Lenovo om beveiligingskwetsbaarheden en junkware in schone installaties van Windows te bannen. Wat vooral zorgwekkend is, is dat Microsoft dergelijke voorzieningen aan pc-fabrikanten biedt, vooral zonder de juiste beperkingen of richtlijnen.
Het duurde ook enkele jaren voordat deze functie zelfs werd opgemerkt in de bredere techwereld, en dat gebeurde alleen vanwege een vervelende beveiligingslek. Wie weet welke andere vervelende functies in Windows worden gebrand om pc-fabrikanten te misbruiken. Pc-fabrikanten slepen de reputatie van Windows via de rommel en Microsoft moet ze onder controle krijgen.
Image Credit: Cory M. Grenier op Flickr
