Lenovo opnieuw in hete wateren over Lenovo Service Engine BIOS
- Categorie: Veiligheid
Het jaar is tot dusverre niet goed geweest voor Lenovo. Nadat in februari het nieuws brak dat het bedrijf een aantal van zijn computersystemen heeft geleverd adware en een problematisch rootcertificaat , leek het onwaarschijnlijk dat een dergelijk groot incident zich opnieuw zou voordoen.
Recente discussies over Reddit en Hacker Nieuws geven aan dat Lenovo een hulpprogramma heeft gebruikt dat het Lenovo Service Engine heet in het BIOS van sommige producten die een programma met de naam OneKey Optimizer hebben gedownload naar gebruikerssystemen en 'niet-persoonlijk identificeerbare systeemgegevens' naar Lenovo-servers hebben verzonden.
Wat dit bijzonder zorgwekkend maakt, is dat Windows-bestanden bij het opstarten werden overschreven, dat bestanden werden toegevoegd aan de Windows system32-directory en dat er een service op het systeem was ingesteld om de gegevens naar Lenovo over te dragen.
De verzamelde gegevens bestaan volgens Lenovo uit machinetype en -model, een systeem-UUID, regio en datum. Nadat de gegevens met succes zijn ingediend, wordt de service automatisch uitgeschakeld op het systeem.
Omdat de tool is gebaseerd op het BIOS, zal het zijn werk doen, zelfs als de Lenovo-machine is geformatteerd en Windows daarna netjes is geïnstalleerd.
Er werden beveiligingsproblemen ontdekt in de implementatie van Lenovo, waarvan het bedrijf toegeeft dat ze niet in overeenstemming waren met de beveiligingsrichtlijnen van Microsoft Binaire tabel van Windows Platform .
Maar wat is de binaire tabel van het Windows-platform?
De WPBT is een vaste Advanced Configuration and Power Interface (ACPI) -tabel waarmee opstartfirmware Windows kan voorzien van een binair platform dat het besturingssysteem kan uitvoeren.
[..]
Er wordt verwacht dat het binaire bestand waarnaar wordt verwezen door de WPBT deel uitmaakt van het ROM-image van de opstartfirmware. Het binaire bestand kan worden overschaduwd naar het fysieke geheugen als onderdeel van de initiële opstartfirmware van de opstartfirmware, of het kan in het fysieke geheugen worden geladen door middel van uitbreidbare opstartfirmwarecode voordat een besturingssysteemcode wordt uitgevoerd.
Betrokken producten (volgens dit nieuwsbericht )
Lenovo notebooks: Flex 2 Pro 15 (Broadwell), Flex 2 Pro 15 (Haswell), Flex 3 1120, Flex 3 1470/1570, G40-80 / G50-80 / G50-80 Touch, S41-70 / U41-70, S435 / M40-35, V3000, Y40-80, Yoga 3 11, Yoga 3 14, Z41-70 / Z51-70, Z70-80 / G70-80
Lenovo Desktop: A540 / A740, B4030, B5030, B5035, B750, H3000, H3050, H5000, H5050, H5055, Horizon 2 27, Horizon 2e (Yoga Home 500), Horizon 2S, C260, C2005, C2030, C4005, C4030, C5030,
X310 (A78), X315 (B85)
Lenovo Desktop (China): D3000, D5050, D5055, F5000, F5050, F5055, G5000, G5050, G5055, YT A5700k, YT A7700k, YT M2620n, YT M5310n, YT M5790n, YT M7100n, YT S4005, YT S4030, YT S4030 , YT S5030
De oplossing
Lenovo heeft BIOS-updates uitgebracht voor getroffen producten die de Lenovo Service Engine uitschakelen, en een tool die services en bestanden verwijdert op systemen met Windows 7, Windows 8 en 8.1 en Windows 10.
Het verwijderingshulpprogramma voert de volgende bewerkingen uit op getroffen systemen:
- Stopt de LSE-service
- Verwijdert alle bestanden die door de LSE-module zijn geïnstalleerd, waaronder C: windows system32 wpbbin.exe,
C: windows system32 LenovoUpdate.exe, C: windows system32 LenovoCheck.exe - Herstelt de autocheck-bestanden in Windows
- Schakelt de UEFI-variabele uit die LSE inschakelt als het systeem Windows 8, 8.1 of 10 in UEFI-modus gebruikt
Downloads vindt u op de ondersteuningswebsite van Lenovo.
Afsluitende woorden
Dit is het tweede grote beveiligingsincident van Lenovo dit jaar dat de producten van het bedrijf beïnvloedt. Hoewel sommige klanten eerder dit jaar een grens hebben getrokken toen het eerste incident plaatsvond, is het waarschijnlijk dat anderen dit na dit tweede incident zullen doen.
Nu jij : Heeft u in het verleden Lenovo gekocht? Doet u dat in de toekomst?