Anzeige
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Security: Lenovos sanktioniertes Rootkit

Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Anzeige

Folgt man einem Thread bei Ycombinator, könnte man meinen, böse Hacker wären am Werk. Ein Nutzer, aufgeschreckt durch die Meldungen über vorinstallierte Bloatware und vor allem die unsichere Adware Superfish auf Rechnern von Lenovo, wagte eine komplette Neuinstallation von Windows auf einem Laptop des chinesischen Herstellers. Er nutzte eine frische SSD, eine offizielle Windows-8-Installations-DVD und verzichtete auf eine Internetverbindung während der Installation. Zu seiner Überraschung entdeckte er direkt nach der Installation einen laufenden Dienst des Laptop-Herstellers. Löschte er die Software, erschien sie nach einem Neustart prompt wieder. Er vermutete ein Bios-Rootkit von Lenovo und lag damit fast richtig.

Lenovo Service Engine (LSE) nennt sich ein Werkzeug des Laptop-Herstellers. Ganz offiziell handelt es sich um ein Bios-Utility. Es sammelt Informationen über den Rechner - also Modell und Typ -, die UUID des installierten Systems sowie Standortdaten und das Datum und schickt sie an den Hersteller. Persönliche Informationen sollen dabei aber nicht übermittelt werden. Und wie gesagt, der Dienst ist im Bios einiger Lenovo-Rechner integriert und wird auch nach einer kompletten Neuinstallation des Betriebssystems Windows geladen und gestartet.

Installation mit Hilfe von Microsoft

Lenovo nutzt dafür Microsofts Windows Platform Binary Table (WPBT). Diese Plattform ermöglicht es Windows ab Version 8 Binärdateien zu laden, die Dritte im Bios abgelegt haben. Die WPB-Tabelle ist im Advanced Configuration and Power Interface (ACPI) integriert. Über sie lassen sich Binärdateien während der Installation von Windows nachladen, ohne "dass sie auf dem Installationsmedium vorhanden sein müssen," heißt es in der offiziellen Dokumentation von Microsoft.

"Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer 'sauberen' Konfiguration neu installiert wird," heißt es in dem Dokument weiter. Ein möglicherweise legitimer Einsatzbereich sei die Nutzung einer Diebstahlschutzsoftware. Auch zur legitimen Nutzung heißt es dort explizit: Die über WPBT geladene Software dürfe nicht die Sicherheit des Betriebssystems gefährden, müsse digital signiert sein und Daten nur verschlüsselt an den Hersteller versenden. Besonders betont wird, dass im Bios abgelegte Software auf keinen Fall die Update-Funktion von Microsoft deaktivieren darf. Kürzlich hatte Samsung von sich reden gemacht, als deren Software zumindest das automatische Update von Windows eigenmächtig deaktivierte. Microsofts Dokument selbst stammt vom November 2011, wurde aber im Juli 2015 um neue Richtlinien für Windows 10 ergänzt.

Offizielle Anleitung zum Entfernen

Offenbar hatte Microsoft aber bereits zuvor Einschränkungen beschlossen. Auf der offiziellen Webseite von Lenovo zu dem Thema heißt es: Lediglich Systeme, die zwischen dem 23. Oktober 2014 und dem 10. April 2015 hergestellt wurden, haben Lenovos Service Engine im Bios. Dort gibt es auch eine Liste der betroffenen Geräte. Ein Eintrag unter den Sicherheitseinstellungen weise darauf hin. Dort lässt sich LSE offenbar auch deaktivieren. Außerdem stellt Lenovo ein Werkzeug bereit, mit dem LSE entfernt werden kann. Grund dafür seien die aktualisierten Richtlinien Microsofts, schreibt der Hersteller. Zu allem Überfluss hatten IT-Sicherheitsforscher auch noch Sicherheitslücken in LSE entdeckt.


eye home zur Startseite
sebastian4699 14. Aug 2015

+1

HubertHans 13. Aug 2015

Bei Acer kannste so viel Geld ausgeben wie du willst. Das ist zu 99% Schund! Das BIOS...

Cok3.Zer0 13. Aug 2015

Und wer bleibt denn noch übrig? Zu Lenovo gehören Medion, Acer und Packard Bell. HP? Dell?

gaym0r 13. Aug 2015

Ich verstehe nicht ganz was du mir sagen möchtest?

Wanupafu 13. Aug 2015

Vor allem sind nur bestimmte Baujahre und Typen betroffen, meins Beispielsweise nicht...

Kommentieren



Anzeige

  1. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern
  2. Consultant (m/w) Business Intelligence (Reporting)
    T-Systems on site services GmbH, Nürnberg
  3. Professional IT Consultant Automotive Marketing und Sales (m/w)
    T-Systems International GmbH, Leinfelden-Echterdingen
  4. IT-Scrum Master Payment Solutions (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  2. Model S

    Teslas Autopilot verursacht Auffahrunfall

  3. Security

    Microsoft will Passwort 'Passwort' verbieten

  4. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  5. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  6. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  7. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  8. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  9. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  10. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

  1. Dann werden die Bussgelder auf die Kunden umverlegt

    mrgenie | 07:00

  2. Re: Na super

    DerVorhangZuUnd... | 06:53

  3. Re: Nein.

    barforbarfoo | 06:52

  4. Verstehe nicht was so schwer daran ist

    kelzinc | 06:50

  5. Re: Gute Idee aus Verbrauchersicht

    Ovaron | 06:49


  1. 14:15

  2. 13:47

  3. 13:00

  4. 12:30

  5. 11:51

  6. 11:22

  7. 11:09

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel