Abo
  • Services:
Anzeige
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Security: Lenovos sanktioniertes Rootkit

Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach.
Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo)

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Anzeige

Folgt man einem Thread bei Ycombinator, könnte man meinen, böse Hacker wären am Werk. Ein Nutzer, aufgeschreckt durch die Meldungen über vorinstallierte Bloatware und vor allem die unsichere Adware Superfish auf Rechnern von Lenovo, wagte eine komplette Neuinstallation von Windows auf einem Laptop des chinesischen Herstellers. Er nutzte eine frische SSD, eine offizielle Windows-8-Installations-DVD und verzichtete auf eine Internetverbindung während der Installation. Zu seiner Überraschung entdeckte er direkt nach der Installation einen laufenden Dienst des Laptop-Herstellers. Löschte er die Software, erschien sie nach einem Neustart prompt wieder. Er vermutete ein Bios-Rootkit von Lenovo und lag damit fast richtig.

Lenovo Service Engine (LSE) nennt sich ein Werkzeug des Laptop-Herstellers. Ganz offiziell handelt es sich um ein Bios-Utility. Es sammelt Informationen über den Rechner - also Modell und Typ -, die UUID des installierten Systems sowie Standortdaten und das Datum und schickt sie an den Hersteller. Persönliche Informationen sollen dabei aber nicht übermittelt werden. Und wie gesagt, der Dienst ist im Bios einiger Lenovo-Rechner integriert und wird auch nach einer kompletten Neuinstallation des Betriebssystems Windows geladen und gestartet.

Installation mit Hilfe von Microsoft

Lenovo nutzt dafür Microsofts Windows Platform Binary Table (WPBT). Diese Plattform ermöglicht es Windows ab Version 8 Binärdateien zu laden, die Dritte im Bios abgelegt haben. Die WPB-Tabelle ist im Advanced Configuration and Power Interface (ACPI) integriert. Über sie lassen sich Binärdateien während der Installation von Windows nachladen, ohne "dass sie auf dem Installationsmedium vorhanden sein müssen," heißt es in der offiziellen Dokumentation von Microsoft.

"Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer 'sauberen' Konfiguration neu installiert wird," heißt es in dem Dokument weiter. Ein möglicherweise legitimer Einsatzbereich sei die Nutzung einer Diebstahlschutzsoftware. Auch zur legitimen Nutzung heißt es dort explizit: Die über WPBT geladene Software dürfe nicht die Sicherheit des Betriebssystems gefährden, müsse digital signiert sein und Daten nur verschlüsselt an den Hersteller versenden. Besonders betont wird, dass im Bios abgelegte Software auf keinen Fall die Update-Funktion von Microsoft deaktivieren darf. Kürzlich hatte Samsung von sich reden gemacht, als deren Software zumindest das automatische Update von Windows eigenmächtig deaktivierte. Microsofts Dokument selbst stammt vom November 2011, wurde aber im Juli 2015 um neue Richtlinien für Windows 10 ergänzt.

Offizielle Anleitung zum Entfernen

Offenbar hatte Microsoft aber bereits zuvor Einschränkungen beschlossen. Auf der offiziellen Webseite von Lenovo zu dem Thema heißt es: Lediglich Systeme, die zwischen dem 23. Oktober 2014 und dem 10. April 2015 hergestellt wurden, haben Lenovos Service Engine im Bios. Dort gibt es auch eine Liste der betroffenen Geräte. Ein Eintrag unter den Sicherheitseinstellungen weise darauf hin. Dort lässt sich LSE offenbar auch deaktivieren. Außerdem stellt Lenovo ein Werkzeug bereit, mit dem LSE entfernt werden kann. Grund dafür seien die aktualisierten Richtlinien Microsofts, schreibt der Hersteller. Zu allem Überfluss hatten IT-Sicherheitsforscher auch noch Sicherheitslücken in LSE entdeckt.


eye home zur Startseite
Anonymer Nutzer 14. Aug 2015

+1

HubertHans 13. Aug 2015

Bei Acer kannste so viel Geld ausgeben wie du willst. Das ist zu 99% Schund! Das BIOS...

Cok3.Zer0 13. Aug 2015

Und wer bleibt denn noch übrig? Zu Lenovo gehören Medion, Acer und Packard Bell. HP? Dell?

gaym0r 13. Aug 2015

Ich verstehe nicht ganz was du mir sagen möchtest?

Wanupafu 13. Aug 2015

Vor allem sind nur bestimmte Baujahre und Typen betroffen, meins Beispielsweise nicht...



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  2. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)
  3. State Street Global Exchange, Frankfurt
  4. Viessmann Elektronik GmbH, Allendorf


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 184,90€ + 3,99€ Versand (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  2. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  3. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  4. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  5. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone

  6. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  7. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  8. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  9. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  10. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. MX Board Silent Mechanische Tastatur von Cherry bringt Ruhe ins Büro
  2. Smartphone TCL will neues Blackberry mit Tastatur bringen
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: 400 ¤ und gekauft (kt)

    Komischer_Phreak | 04:48

  2. Re: Damit liefern wir den "Emerging Market...

    Komischer_Phreak | 04:44

  3. S7 gibt es auch auf dem deutschen Markt

    Komischer_Phreak | 04:44

  4. Re: Klatschehelles Handy gesucht

    Komischer_Phreak | 04:41

  5. Re: und es geht noch günstiger

    Komischer_Phreak | 04:27


  1. 18:30

  2. 18:14

  3. 16:18

  4. 15:53

  5. 15:29

  6. 15:00

  7. 14:45

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel