Немногие заметили в то время, но Microsoft добавила в Windows 8 новую функцию, которая позволяет производителям заражать прошивку UEFI дерьмом. Windows продолжит установку и восстановление этого ненужного программного обеспечения даже после выполнения чистой установки.
Эта функция по-прежнему присутствует в Windows 10, и совершенно непонятно, почему Microsoft предоставила производителям ПК столько энергии. Это подчеркивает важность покупки ПК в Магазине Microsoft – даже выполнение чистой установки может не избавиться от всех предустановленных программ-носителей.
WPBT 101
Начиная с Windows 8, производитель ПК может встраивать программу – по сути, файл .exe Windows – в прошивку UEFI для ПК. Это хранится в разделе «Двоичная таблица платформы Windows» (WPBT) прошивки UEFI. Всякий раз, когда Windows загружается, она просматривает прошивку UEFI для этой программы, копирует ее из прошивки на диск операционной системы и запускает ее. Сама Windows не дает возможности предотвратить это. Если прошивка производителя UEFI предлагает его, Windows запустит его без вопросов.
Lenovo LSE и ее дыры в безопасности
Невозможно написать об этой сомнительной функции, не отметив случай, который привлек ее внимание общественности. Lenovo поставляла различные ПК с поддержкой так называемой «службы поддержки Lenovo» (LSE). Вот что утверждает Lenovo – это полный список уязвимых компьютеров.
Когда программа автоматически запускается Windows 8, Lenovo Service Engine загружает программу под названием OneKey Optimizer и сообщает в Lenovo некоторое количество данных. Lenovo устанавливает системные службы, предназначенные для загрузки и обновления программного обеспечения из Интернета, что делает невозможным их удаление – они даже автоматически возвращаются после чистой установки Windows.
Lenovo пошла еще дальше, расширив эту теневую технику до Windows 7. Прошивка UEFI проверяет файл C: \ Windows \ system32 \ autochk.exe и перезаписывает его собственной версией Lenovo. Эта программа запускается при загрузке для проверки файловой системы в Windows, и этот прием позволяет Lenovo заставить эту грязную практику работать и в Windows 7. Это говорит о том, что WPBT даже не нужен – производители ПК могут просто перезаписать системные файлы Windows своими прошивками.
Microsoft и Lenovo обнаружили серьезную уязвимость безопасности, которую можно использовать, поэтому Lenovo, к счастью, прекратила поставлять ПК с этим неприятным мусором. Lenovo предлагает обновление, которое удалит LSE с ноутбуков, и обновление, которое удалит LSE с настольных ПК. Однако они не загружаются и не устанавливаются автоматически, поэтому на многих, вероятно, наиболее уязвимых компьютерах Lenovo будет установлен этот мусор в их прошивке UEFI.
Это еще одна неприятная проблема безопасности от производителя ПК, которая привела нас к компьютерам, зараженным Superfish. Неясно, злоупотребляли ли WPBT аналогичным образом другие производители ПК на некоторых своих ПК.
Что Microsoft говорит об этом?
Как отмечает Lenovo:
«Microsoft недавно выпустила обновленные руководящие принципы безопасности о том, как наилучшим образом реализовать эту функцию. Использование Lenovo LSE не соответствует этим рекомендациям, поэтому Lenovo прекратила поставлять настольные модели с этой утилитой и рекомендует пользователям с этой утилитой запускать утилиту «очистки», которая удаляет файлы LSE с рабочего стола ».
Другими словами, функция Lenovo LSE, которая использует WPBT для загрузки нежелательного программного обеспечения из Интернета, была разрешена в соответствии с оригинальным дизайном Microsoft и рекомендациями для функции WPBT. Рекомендации только сейчас были доработаны.
Microsoft не предоставляет много информации об этом. На веб-сайте Microsoft есть только один файл .docx – даже не веб-страница с информацией об этой функции. Вы можете узнать все, что вы хотите об этом, прочитав документ. Это объясняет обоснование Microsoft для включения этой функции, используя в качестве примера постоянное противоугонное программное обеспечение:
«Основной целью WPBT является сохранение критически важного программного обеспечения даже после изменения или переустановки операционной системы в« чистой »конфигурации. Одним из вариантов использования WPBT является включение противоугонного программного обеспечения, которое необходимо сохранить в случае кражи, форматирования и переустановки устройства. В этом сценарии функциональность WPBT предоставляет возможность программному обеспечению защиты от кражи переустанавливать себя в операционной системе и продолжать работать, как предполагалось ».
Эта защита этой функции была добавлена в документ только после того, как Lenovo использовала ее для других целей.
Включает ли ваш компьютер программное обеспечение WPBT?
На компьютерах, использующих WPBT, Windows считывает двоичные данные из таблицы прошивки UEFI и копирует их в файл с именем wpbbin.exe при загрузке.
Вы можете проверить свой собственный компьютер, чтобы увидеть, включает ли производитель программное обеспечение в WPBT. Чтобы выяснить это, откройте каталог C: \ Windows \ system32 и найдите файл с именем wpbbin.exe . Файл C: \ Windows \ system32 \ wpbbin.exe существует, только если Windows копирует его из прошивки UEFI. Если его нет, производитель вашего ПК не использовал WPBT для автоматического запуска программного обеспечения на вашем компьютере.
Избегание WPBT и другой нежелательной программы
Microsoft разработала еще несколько правил для этой функции после безответственной ошибки Lenovo. Но это сбивает с толку, что эта функция вообще существует, и особенно сбивает с толку, что Microsoft предоставит ее производителям ПК без каких-либо четких требований безопасности или рекомендаций по ее использованию.
Пересмотренные руководящие указания предписывают производителям оборудования обеспечить пользователям возможность отключить эту функцию, если они этого не хотят, но руководящие указания Microsoft не препятствовали производителям ПК злоупотреблять безопасностью Windows в прошлом. Посмотрите, как Samsung поставляет ПК с отключенным Центром обновления Windows, потому что это было проще, чем работать с Microsoft, чтобы убедиться, что в Центр обновления Windows были добавлены нужные драйверы.
Это еще один пример того, как производители ПК не воспринимают всерьез безопасность Windows. Если вы планируете приобрести новый ПК с Windows, мы рекомендуем вам купить его в Магазине Microsoft, Microsoft на самом деле заботится об этих ПК и гарантирует, что у них нет вредоносного программного обеспечения, такого как Lenovo Superfish, Disable_WindowsUpdate.exe от Samsung, функция Lenovo LSE Lenovo, и все остальное, что может быть у типичного ПК.
Когда мы писали это в прошлом, многие читатели ответили, что в этом нет необходимости, потому что вы всегда можете просто выполнить чистую установку Windows, чтобы избавиться от любого вредоносного ПО. Ну, по-видимому, это не так – единственный верный способ получить ПК с Windows, не содержащий вирусов, – это магазин Microsoft Store. Так не должно быть, но это так.
Что особенно беспокоит WPBT, так это не полный отказ Lenovo от его использования для защиты от уязвимостей и нежелательной программы в чистых установках Windows. Что особенно беспокоит, так это то, что Microsoft предоставляет такие функции производителям ПК, особенно без надлежащих ограничений или рекомендаций.
Прошло также несколько лет, прежде чем эта функция стала заметной в более широком технологическом мире, и это произошло только из-за неприятной уязвимости безопасности. Кто знает, какие еще неприятные функции встроены в Windows, чтобы производители ПК могли ими злоупотреблять. Производители ПК тянут репутацию Windows через гадость, и Microsoft должна держать их под контролем.
Изображение предоставлено: Cory M. Grenier на Flickr
