Abo
  • Services:
Anzeige
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Security: Lenovos sanktioniertes Rootkit

Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Anzeige

Folgt man einem Thread bei Ycombinator, könnte man meinen, böse Hacker wären am Werk. Ein Nutzer, aufgeschreckt durch die Meldungen über vorinstallierte Bloatware und vor allem die unsichere Adware Superfish auf Rechnern von Lenovo, wagte eine komplette Neuinstallation von Windows auf einem Laptop des chinesischen Herstellers. Er nutzte eine frische SSD, eine offizielle Windows-8-Installations-DVD und verzichtete auf eine Internetverbindung während der Installation. Zu seiner Überraschung entdeckte er direkt nach der Installation einen laufenden Dienst des Laptop-Herstellers. Löschte er die Software, erschien sie nach einem Neustart prompt wieder. Er vermutete ein Bios-Rootkit von Lenovo und lag damit fast richtig.

Lenovo Service Engine (LSE) nennt sich ein Werkzeug des Laptop-Herstellers. Ganz offiziell handelt es sich um ein Bios-Utility. Es sammelt Informationen über den Rechner - also Modell und Typ -, die UUID des installierten Systems sowie Standortdaten und das Datum und schickt sie an den Hersteller. Persönliche Informationen sollen dabei aber nicht übermittelt werden. Und wie gesagt, der Dienst ist im Bios einiger Lenovo-Rechner integriert und wird auch nach einer kompletten Neuinstallation des Betriebssystems Windows geladen und gestartet.

Installation mit Hilfe von Microsoft

Lenovo nutzt dafür Microsofts Windows Platform Binary Table (WPBT). Diese Plattform ermöglicht es Windows ab Version 8 Binärdateien zu laden, die Dritte im Bios abgelegt haben. Die WPB-Tabelle ist im Advanced Configuration and Power Interface (ACPI) integriert. Über sie lassen sich Binärdateien während der Installation von Windows nachladen, ohne "dass sie auf dem Installationsmedium vorhanden sein müssen," heißt es in der offiziellen Dokumentation von Microsoft.

"Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer 'sauberen' Konfiguration neu installiert wird," heißt es in dem Dokument weiter. Ein möglicherweise legitimer Einsatzbereich sei die Nutzung einer Diebstahlschutzsoftware. Auch zur legitimen Nutzung heißt es dort explizit: Die über WPBT geladene Software dürfe nicht die Sicherheit des Betriebssystems gefährden, müsse digital signiert sein und Daten nur verschlüsselt an den Hersteller versenden. Besonders betont wird, dass im Bios abgelegte Software auf keinen Fall die Update-Funktion von Microsoft deaktivieren darf. Kürzlich hatte Samsung von sich reden gemacht, als deren Software zumindest das automatische Update von Windows eigenmächtig deaktivierte. Microsofts Dokument selbst stammt vom November 2011, wurde aber im Juli 2015 um neue Richtlinien für Windows 10 ergänzt.

Offizielle Anleitung zum Entfernen

Offenbar hatte Microsoft aber bereits zuvor Einschränkungen beschlossen. Auf der offiziellen Webseite von Lenovo zu dem Thema heißt es: Lediglich Systeme, die zwischen dem 23. Oktober 2014 und dem 10. April 2015 hergestellt wurden, haben Lenovos Service Engine im Bios. Dort gibt es auch eine Liste der betroffenen Geräte. Ein Eintrag unter den Sicherheitseinstellungen weise darauf hin. Dort lässt sich LSE offenbar auch deaktivieren. Außerdem stellt Lenovo ein Werkzeug bereit, mit dem LSE entfernt werden kann. Grund dafür seien die aktualisierten Richtlinien Microsofts, schreibt der Hersteller. Zu allem Überfluss hatten IT-Sicherheitsforscher auch noch Sicherheitslücken in LSE entdeckt.


eye home zur Startseite
Anonymer Nutzer 14. Aug 2015

+1

HubertHans 13. Aug 2015

Bei Acer kannste so viel Geld ausgeben wie du willst. Das ist zu 99% Schund! Das BIOS...

Cok3.Zer0 13. Aug 2015

Und wer bleibt denn noch übrig? Zu Lenovo gehören Medion, Acer und Packard Bell. HP? Dell?

gaym0r 13. Aug 2015

Ich verstehe nicht ganz was du mir sagen möchtest?

Wanupafu 13. Aug 2015

Vor allem sind nur bestimmte Baujahre und Typen betroffen, meins Beispielsweise nicht...



Anzeige

Stellenmarkt
  1. Wüstenrot Immobilien GmbH, Ludwigsburg
  2. über Mentis International Human Resources GmbH, Nordbayern
  3. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  4. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 49,99€
  3. 35,00€ (nur für Prime-Mitglieder)

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

  1. Re: gesamtwirtschaftlich gesehen günstiger...

    Squirrelchen | 06:16

  2. Re: Warum nicht früher?

    Crass Spektakel | 05:50

  3. Zu schnell

    Crass Spektakel | 05:43

  4. Wäre dies eine Energiesparlösung gegenüber einem...

    Signator | 03:56

  5. Re: 1400W... für welche Hardware?

    Ach | 03:47


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel