Abo
  • Services:
Anzeige
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Security: Lenovos sanktioniertes Rootkit

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Anzeige

Folgt man einem Thread bei Ycombinator, könnte man meinen, böse Hacker wären am Werk. Ein Nutzer, aufgeschreckt durch die Meldungen über vorinstallierte Bloatware und vor allem die unsichere Adware Superfish auf Rechnern von Lenovo, wagte eine komplette Neuinstallation von Windows auf einem Laptop des chinesischen Herstellers. Er nutzte eine frische SSD, eine offizielle Windows-8-Installations-DVD und verzichtete auf eine Internetverbindung während der Installation. Zu seiner Überraschung entdeckte er direkt nach der Installation einen laufenden Dienst des Laptop-Herstellers. Löschte er die Software, erschien sie nach einem Neustart prompt wieder. Er vermutete ein Bios-Rootkit von Lenovo und lag damit fast richtig.

Lenovo Service Engine (LSE) nennt sich ein Werkzeug des Laptop-Herstellers. Ganz offiziell handelt es sich um ein Bios-Utility. Es sammelt Informationen über den Rechner - also Modell und Typ -, die UUID des installierten Systems sowie Standortdaten und das Datum und schickt sie an den Hersteller. Persönliche Informationen sollen dabei aber nicht übermittelt werden. Und wie gesagt, der Dienst ist im Bios einiger Lenovo-Rechner integriert und wird auch nach einer kompletten Neuinstallation des Betriebssystems Windows geladen und gestartet.

Installation mit Hilfe von Microsoft

Lenovo nutzt dafür Microsofts Windows Platform Binary Table (WPBT). Diese Plattform ermöglicht es Windows ab Version 8 Binärdateien zu laden, die Dritte im Bios abgelegt haben. Die WPB-Tabelle ist im Advanced Configuration and Power Interface (ACPI) integriert. Über sie lassen sich Binärdateien während der Installation von Windows nachladen, ohne "dass sie auf dem Installationsmedium vorhanden sein müssen," heißt es in der offiziellen Dokumentation von Microsoft.

"Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer 'sauberen' Konfiguration neu installiert wird," heißt es in dem Dokument weiter. Ein möglicherweise legitimer Einsatzbereich sei die Nutzung einer Diebstahlschutzsoftware. Auch zur legitimen Nutzung heißt es dort explizit: Die über WPBT geladene Software dürfe nicht die Sicherheit des Betriebssystems gefährden, müsse digital signiert sein und Daten nur verschlüsselt an den Hersteller versenden. Besonders betont wird, dass im Bios abgelegte Software auf keinen Fall die Update-Funktion von Microsoft deaktivieren darf. Kürzlich hatte Samsung von sich reden gemacht, als deren Software zumindest das automatische Update von Windows eigenmächtig deaktivierte. Microsofts Dokument selbst stammt vom November 2011, wurde aber im Juli 2015 um neue Richtlinien für Windows 10 ergänzt.

Offizielle Anleitung zum Entfernen

Offenbar hatte Microsoft aber bereits zuvor Einschränkungen beschlossen. Auf der offiziellen Webseite von Lenovo zu dem Thema heißt es: Lediglich Systeme, die zwischen dem 23. Oktober 2014 und dem 10. April 2015 hergestellt wurden, haben Lenovos Service Engine im Bios. Dort gibt es auch eine Liste der betroffenen Geräte. Ein Eintrag unter den Sicherheitseinstellungen weise darauf hin. Dort lässt sich LSE offenbar auch deaktivieren. Außerdem stellt Lenovo ein Werkzeug bereit, mit dem LSE entfernt werden kann. Grund dafür seien die aktualisierten Richtlinien Microsofts, schreibt der Hersteller. Zu allem Überfluss hatten IT-Sicherheitsforscher auch noch Sicherheitslücken in LSE entdeckt.


eye home zur Startseite
Anonymer Nutzer 14. Aug 2015

+1

HubertHans 13. Aug 2015

Bei Acer kannste so viel Geld ausgeben wie du willst. Das ist zu 99% Schund! Das BIOS...

Cok3.Zer0 13. Aug 2015

Und wer bleibt denn noch übrig? Zu Lenovo gehören Medion, Acer und Packard Bell. HP? Dell?

gaym0r 13. Aug 2015

Ich verstehe nicht ganz was du mir sagen möchtest?

Wanupafu 13. Aug 2015

Vor allem sind nur bestimmte Baujahre und Typen betroffen, meins Beispielsweise nicht...



Anzeige

Stellenmarkt
  1. gkv informatik, Wuppertal
  2. Landeshauptstadt München, München
  3. über Ratbacher GmbH, Raum Minden (Home-Office möglich)
  4. Limbach Gruppe SE, Rüsselsheim


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Hausautomatisierung Google Nest kommt in deutsche Wohnzimmer
  2. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  3. Airbot LG stellt Roboter für Flughäfen vor

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

  1. Re: Das macht der doch...

    maze_1980 | 23:10

  2. Re: Dummes Golem-Geschwätz!

    m_jazz | 23:09

  3. Re: was völlig fehlt

    SelfEsteem | 23:06

  4. Re: Keine #3

    Arhey | 23:06

  5. Obama halt so butthurt

    torrbox | 23:05


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel