Abo
  • Services:
Anzeige
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Security: Lenovos sanktioniertes Rootkit

Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Anzeige

Folgt man einem Thread bei Ycombinator, könnte man meinen, böse Hacker wären am Werk. Ein Nutzer, aufgeschreckt durch die Meldungen über vorinstallierte Bloatware und vor allem die unsichere Adware Superfish auf Rechnern von Lenovo, wagte eine komplette Neuinstallation von Windows auf einem Laptop des chinesischen Herstellers. Er nutzte eine frische SSD, eine offizielle Windows-8-Installations-DVD und verzichtete auf eine Internetverbindung während der Installation. Zu seiner Überraschung entdeckte er direkt nach der Installation einen laufenden Dienst des Laptop-Herstellers. Löschte er die Software, erschien sie nach einem Neustart prompt wieder. Er vermutete ein Bios-Rootkit von Lenovo und lag damit fast richtig.

Lenovo Service Engine (LSE) nennt sich ein Werkzeug des Laptop-Herstellers. Ganz offiziell handelt es sich um ein Bios-Utility. Es sammelt Informationen über den Rechner - also Modell und Typ -, die UUID des installierten Systems sowie Standortdaten und das Datum und schickt sie an den Hersteller. Persönliche Informationen sollen dabei aber nicht übermittelt werden. Und wie gesagt, der Dienst ist im Bios einiger Lenovo-Rechner integriert und wird auch nach einer kompletten Neuinstallation des Betriebssystems Windows geladen und gestartet.

Installation mit Hilfe von Microsoft

Lenovo nutzt dafür Microsofts Windows Platform Binary Table (WPBT). Diese Plattform ermöglicht es Windows ab Version 8 Binärdateien zu laden, die Dritte im Bios abgelegt haben. Die WPB-Tabelle ist im Advanced Configuration and Power Interface (ACPI) integriert. Über sie lassen sich Binärdateien während der Installation von Windows nachladen, ohne "dass sie auf dem Installationsmedium vorhanden sein müssen," heißt es in der offiziellen Dokumentation von Microsoft.

"Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer 'sauberen' Konfiguration neu installiert wird," heißt es in dem Dokument weiter. Ein möglicherweise legitimer Einsatzbereich sei die Nutzung einer Diebstahlschutzsoftware. Auch zur legitimen Nutzung heißt es dort explizit: Die über WPBT geladene Software dürfe nicht die Sicherheit des Betriebssystems gefährden, müsse digital signiert sein und Daten nur verschlüsselt an den Hersteller versenden. Besonders betont wird, dass im Bios abgelegte Software auf keinen Fall die Update-Funktion von Microsoft deaktivieren darf. Kürzlich hatte Samsung von sich reden gemacht, als deren Software zumindest das automatische Update von Windows eigenmächtig deaktivierte. Microsofts Dokument selbst stammt vom November 2011, wurde aber im Juli 2015 um neue Richtlinien für Windows 10 ergänzt.

Offizielle Anleitung zum Entfernen

Offenbar hatte Microsoft aber bereits zuvor Einschränkungen beschlossen. Auf der offiziellen Webseite von Lenovo zu dem Thema heißt es: Lediglich Systeme, die zwischen dem 23. Oktober 2014 und dem 10. April 2015 hergestellt wurden, haben Lenovos Service Engine im Bios. Dort gibt es auch eine Liste der betroffenen Geräte. Ein Eintrag unter den Sicherheitseinstellungen weise darauf hin. Dort lässt sich LSE offenbar auch deaktivieren. Außerdem stellt Lenovo ein Werkzeug bereit, mit dem LSE entfernt werden kann. Grund dafür seien die aktualisierten Richtlinien Microsofts, schreibt der Hersteller. Zu allem Überfluss hatten IT-Sicherheitsforscher auch noch Sicherheitslücken in LSE entdeckt.


eye home zur Startseite
Anonymer Nutzer 14. Aug 2015

+1

HubertHans 13. Aug 2015

Bei Acer kannste so viel Geld ausgeben wie du willst. Das ist zu 99% Schund! Das BIOS...

Cok3.Zer0 13. Aug 2015

Und wer bleibt denn noch übrig? Zu Lenovo gehören Medion, Acer und Packard Bell. HP? Dell?

gaym0r 13. Aug 2015

Ich verstehe nicht ganz was du mir sagen möchtest?

Wanupafu 13. Aug 2015

Vor allem sind nur bestimmte Baujahre und Typen betroffen, meins Beispielsweise nicht...



Anzeige

Stellenmarkt
  1. SIGMETA Informationsverarbeitung und Technik GmbH, München
  2. über 3C - Career Consulting Company GmbH, Raum Berlin
  3. Daimler AG, Leinfelden-Echterdingen
  4. SEW-EURODRIVE GmbH & Co KG, Heidesheim


Anzeige
Spiele-Angebote
  1. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. ab 59,99€ (Vorbesteller-Preisgarantie)
  3. 69,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

  2. Drogenhandel

    Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

  3. Xcom-2-Erweiterung angespielt

    Untote und unbegrenzte Schussfreigabe

  4. Niantic

    Das erste legendäre Monster schlüpft demnächst in Pokémon Go

  5. Bundestrojaner

    BKA will bald Messengerdienste hacken können

  6. IETF

    DNS wird sicher, aber erst später

  7. Dokumentation zum Tor-Netzwerk

    Unaufgeregte Töne inmitten des Geschreis

  8. Patentklage

    Qualcomm will iPhone-Importstopp in Deutschland

  9. Telekom

    Wie viele Bundesfördermittel gehen ins Vectoring?

  10. IETF

    Wie TLS abgehört werden könnte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Link11 DDoS-Angriffe nehmen wegen IoT-Botnetzen weiter zu
  2. Ethereum-Boom vorbei Viele gebrauchte AMD-Grafikkarten im Angebot
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF 5G braucht das Internet - auch ohne Internet
  2. IETF DNS über HTTPS ist besser als DNS

  1. Re: Stark angelehnt am LEDmePlay

    derdiedas | 22:19

  2. Re: warum ist sofortueberweisung überhaupt am Markt?

    My1 | 22:18

  3. Re: Gibt nur 4 sinnvolle Zahlungsarten...

    My1 | 22:16

  4. Re: Und wieder eine neue Insel..

    MysticaX | 22:15

  5. Re: Der Telekom ist das egal

    Dadie | 22:13


  1. 19:00

  2. 18:52

  3. 18:38

  4. 18:30

  5. 17:31

  6. 17:19

  7. 16:34

  8. 15:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel