Zombie Crapware Как работает бинарный стол на платформе Windows

В то время мало кто это заметил, но Microsoft добавила в Windows 8 новую функцию, которая позволяет производителям заражать прошивку UEFI программным обеспечением. Windows продолжит установку и восстановление этого нежелательного программного обеспечения даже после выполнения чистой установки.

Эта функция по-прежнему присутствует в Windows 10, и совершенно непонятно, почему Microsoft дает производителям ПК столько энергии. Это подчеркивает важность покупки ПК в Магазине Microsoft - даже выполнение чистой установки может не избавиться от всех предустановленных программ-носителей.

WPBT 101

Начиная с Windows 8, производитель ПК может встраивать программу - по сути, файл .exe Windows - в прошивку UEFI для ПК. Это хранится в разделе «Двоичная таблица платформы Windows» (WPBT) прошивки UEFI. Всякий раз, когда Windows загружается, она просматривает прошивку UEFI для этой программы, копирует ее из прошивки на диск операционной системы и запускает ее. Сама Windows не дает возможности предотвратить это. Если прошивка производителя UEFI предлагает его, Windows запустит его без вопросов.

Lenovo LSE и ее дыры в безопасности

Невозможно написать об этой сомнительной функции, не отметив случай, который привлек ее внимание общественности. Lenovo поставляла различные ПК с поддержкой так называемой «службы поддержки Lenovo» (LSE). Вот что Lenovo утверждает, что это полный список уязвимых ПК.

Когда программа автоматически запускается Windows 8, Lenovo Service Engine загружает программу под названием OneKey Optimizer и сообщает в Lenovo некоторое количество данных. Lenovo устанавливает системные службы, предназначенные для загрузки и обновления программного обеспечения из Интернета, что делает невозможным их удаление - они даже автоматически возвращаются после чистой установки Windows.

Lenovo пошла еще дальше, расширив эту теневую технику до Windows 7. Прошивка UEFI проверяет файл C: \ Windows \ system32 \ autochk.exe и перезаписывает его собственной версией Lenovo. Эта программа запускается при загрузке для проверки файловой системы в Windows, и этот прием позволяет Lenovo заставить эту грязную практику работать и в Windows 7. Это говорит о том, что WPBT даже не нужен - производители ПК могут просто перезаписать системные файлы Windows своими прошивками..

Microsoft и Lenovo обнаружили серьезную уязвимость безопасности, которую можно использовать, поэтому Lenovo, к счастью, прекратила поставлять ПК с этим неприятным мусором. Lenovo предлагает обновление, которое удалит LSE с ноутбуков, и обновление, которое удалит LSE с настольных ПК. Однако они не загружаются и не устанавливаются автоматически, поэтому на многих, вероятно, наиболее уязвимых компьютерах Lenovo будет установлен этот мусор в их прошивке UEFI..

Это еще одна неприятная проблема безопасности от производителя ПК, которая привела нас к компьютерам, зараженным Superfish. Неясно, использовали ли другие производители ПК аналогичным образом WPBT на некоторых своих ПК..

Что Microsoft говорит об этом?

Как отмечает Lenovo:

«Microsoft недавно выпустила обновленные руководящие принципы безопасности о том, как наилучшим образом реализовать эту функцию. Использование Lenovo LSE не соответствует этим рекомендациям, поэтому Lenovo прекратила поставлять модели настольных компьютеров с этой утилитой и рекомендует пользователям с этой утилитой запускать утилиту «очистки», которая удаляет файлы LSE с рабочего стола ».

Другими словами, функция Lenovo LSE, которая использует WPBT для загрузки нежелательного программного обеспечения из Интернета, была разрешена в соответствии с оригинальным дизайном Microsoft и рекомендациями для функции WPBT. Рекомендации только сейчас были доработаны.

Microsoft не предлагает много информации об этом. На веб-сайте Microsoft есть только один файл .docx - даже не веб-страница с информацией об этой функции. Вы можете узнать все, что вы хотите об этом, прочитав документ. Это объясняет обоснование Microsoft для включения этой функции, используя постоянное противоугонное программное обеспечение в качестве примера:

«Основной целью WPBT является сохранение критически важного программного обеспечения даже после изменения или переустановки операционной системы в« чистой »конфигурации. Одним из вариантов использования WPBT является включение противоугонного программного обеспечения, которое необходимо сохранить в случае кражи, форматирования и переустановки устройства. В этом сценарии функциональность WPBT предоставляет возможность программному обеспечению защиты от кражи переустанавливать себя в операционной системе и продолжать работать, как предполагалось ».

Эта защита функции была добавлена ​​в документ только после того, как Lenovo использовала ее для других целей..

Включает ли ваш компьютер программное обеспечение WPBT??

На компьютерах, использующих WPBT, Windows считывает двоичные данные из таблицы прошивки UEFI и копирует их в файл с именем wpbbin.exe при загрузке..

Вы можете проверить свой собственный компьютер, чтобы увидеть, включает ли производитель программное обеспечение в WPBT. Чтобы выяснить это, откройте каталог C: \ Windows \ system32 и найдите файл с именем wpbbin.exe. Файл C: \ Windows \ system32 \ wpbbin.exe существует только в том случае, если Windows копирует его из прошивки UEFI. Если он отсутствует, производитель вашего ПК не использовал WPBT для автоматического запуска программного обеспечения на вашем компьютере..

Как избежать WPBT и другой нежелательной программы

Microsoft разработала еще несколько правил для этой функции после безответственной ошибки Lenovo. Но это сбивает с толку, что эта функция вообще существует в первую очередь - и особенно сбивает с толку, что Microsoft предоставит ее производителям ПК без каких-либо четких требований безопасности или рекомендаций по ее использованию..

Пересмотренные рекомендации инструктируют производителей оборудования о том, что пользователи действительно могут отключить эту функцию, если они этого не хотят, но рекомендации Microsoft не препятствовали производителям ПК злоупотреблять безопасностью Windows в прошлом. Посмотрите, как Samsung поставляет ПК с отключенным Центром обновления Windows, потому что это было проще, чем работать с Microsoft, чтобы убедиться, что в Центр обновления Windows были добавлены нужные драйверы.

Это еще один пример того, как производители ПК не воспринимают всерьез безопасность Windows. Если вы планируете приобрести новый ПК с Windows, мы рекомендуем вам купить его в Магазине Майкрософт, Microsoft на самом деле заботится об этих ПК и гарантирует, что у них нет вредоносного программного обеспечения, такого как Lenovo Superfish, Disable_WindowsUpdate.exe от Samsung, функция Lenovo LSE от Lenovo, и все остальное мусор, типичный ПК может прийти с.

Когда мы писали это в прошлом, многие читатели ответили, что в этом нет необходимости, потому что вы всегда можете просто выполнить чистую установку Windows, чтобы избавиться от любого вредоносного ПО. Что ж, по-видимому, это не так - единственный верный способ получить Windows-ПК без вирусов - это магазин Microsoft Store. Так не должно быть, но.

Что особенно беспокоит WPBT, так это не полный отказ Lenovo от использования его для внедрения уязвимостей в системе безопасности и нежелательной программы в чистые установки Windows. Что особенно беспокоит, так это то, что Microsoft, в первую очередь, предоставляет производителям ПК такие функции, особенно без надлежащих ограничений или рекомендаций..

Прошло также несколько лет, прежде чем эта функция стала заметной в более широком технологическом мире, и это произошло только из-за неприятной уязвимости безопасности. Кто знает, какие еще неприятные функции встроены в Windows, чтобы производители ПК могли ими злоупотреблять. Производители ПК тянут репутацию Windows через гадость, и Microsoft должна взять их под контроль.

Кредит Фотографии: Кори М. Гренье на Flickr