Тоді мало хто це помітив, але Microsoft додала до Windows 8 нову функцію, яка дозволяє виробникам заражати прошивку UEFI лайно . Windows продовжить встановлювати та відновлювати це небажане програмне забезпечення навіть після чистої інсталяції.
Ця функція продовжує бути присутнім у Windows 10, і це абсолютно загадково, чому Microsoft надає виробникам ПК стільки потужності. Це підкреслює важливість придбання ПК у магазині Microsoft Store - навіть виконавши чисту інсталяцію, можливо, не можна позбутися всього попередньо встановленого вірусу.
WPBT 101
Починаючи з Windows 8, виробник ПК може вбудувати програму - файл Windows .exe, по суті - в ПК Прошивка UEFI . Це зберігається у розділі «Бінарна таблиця платформи Windows» (WPBT) прошивки UEFI. Коли Windows завантажується, він переглядає прошивку UEFI для цієї програми, копіює її з мікропрограми на диск операційної системи та запускає. Сама Windows не може зупинити це. Якщо прошивка UEFI виробника пропонує її, Windows запустить її без сумнівів.
LSE Lenovo та його отвори безпеки
ПОВ'ЯЗАНІ: Як виробникам комп’ютерів платять, щоб зробити ваш ноутбук гіршим
Неможливо написати про цю сумнівну особливість, не зазначивши справа, яка звернула його на увагу громадськості . Lenovo поставляла різноманітні ПК з увімкненим процесором, який називається «Lenovo Service Engine» (LSE). Ось що стверджує Lenovo повний перелік уражених ПК .
Коли програму автоматично запускає Windows 8, Lenovo Service Engine завантажує програму, яка називається OneKey Optimizer, і повідомляє деякий обсяг даних назад Lenovo. Lenovo налаштовує системні служби, призначені для завантаження та оновлення програмного забезпечення з Інтернету, унеможливлюючи їх видалення - вони навіть автоматично повернуться після чиста інсталяція Windows .
Lenovo пішла ще далі, поширивши цю тіньову техніку на Windows 7. Прошивка UEFI перевіряє файл C: \ Windows \ system32 \ autochk.exe і замінює його власною версією Lenovo. Ця програма запускається під час завантаження для перевірки файлової системи в Windows, і цей фокус дозволяє Lenovo змусити цю неприємну практику працювати і в Windows 7. Це просто показує, що WPBT навіть не потрібен - виробники ПК можуть просто перепрошивати їх прошивки системними файлами Windows.
Microsoft і Lenovo виявили серйозну уразливість системи безпеки, яку можна використати, тому Lenovo, на щастя, припинила доставку ПК з цим неприємним сміттям. Lenovo пропонує оновлення, яке видалить LSE з ноутбуків і оновлення, яке видалить LSE з настільних ПК . Однак вони не завантажуються та не встановлюються автоматично, тому на багатьох, мабуть, найбільш постраждалих ПК Lenovo, цей мотлох і надалі буде інстальовано у своєму програмному забезпеченні UEFI.
Це лише чергова неприємна проблема безпеки від виробника ПК, яка нам принесла ПК, заражені Superfish . Незрозуміло, чи інші виробники ПК зловживали WPBT подібним чином на деяких своїх ПК.
Що про це говорить Microsoft?
Як зазначає Lenovo:
“Нещодавно корпорація Майкрософт випустила оновлені вказівки щодо безпеки, як найкраще впровадити цю функцію. Використання Lenovo LSE не узгоджується з цими вказівками, тому Lenovo припинила поставляти настільні моделі з цією утилітою та рекомендує клієнтам з увімкненою утилітою запустити утиліту «очищення», яка видаляє файли LSE з робочого столу ».
Іншими словами, функція Lenovo LSE, яка використовує WPBT для завантаження небажаного програмного забезпечення з Інтернету, була дозволена за оригінальним дизайном і вказівками Microsoft щодо функції WPBT. Настанови лише тепер уточнені.
Microsoft не пропонує багато інформації про це. Є просто один файл .docx - навіть веб-сторінки - на веб-сайті Microsoft з інформацією про цю функцію. Ви можете дізнатися все, що хочете про це, прочитавши документ. Це пояснює обгрунтування Microsoft щодо включення цієї функції, використовуючи на прикладі стійке протиугінне програмне забезпечення:
«Основна мета WPBT - дозволити збереженню критичного програмного забезпечення, навіть якщо операційна система змінилася або була переінстальована в« чистій »конфігурації. Одним із варіантів використання WPBT є увімкнення програмного забезпечення для захисту від крадіжок, яке повинно існувати у випадку викрадення, форматування та повторної інсталяції пристрою. У цьому сценарії функціональність WPBT надає можливість протиугінному програмному забезпеченню перевстановити себе в операційну систему і продовжувати працювати за призначенням ».
Цей захист функції було додано до документа лише після того, як Lenovo використовувала його для інших цілей.
Чи включає ваш ПК програмне забезпечення WPBT?
На ПК, що використовують WPBT, Windows зчитує двійкові дані з таблиці в мікропрограмі UEFI та копіює їх у файл з ім'ям wpbbin.exe під час завантаження.
Ви можете перевірити власний ПК, чи виробник включив програмне забезпечення до WPBT. Щоб це дізнатись, відкрийте каталог C: \ Windows \ system32 і знайдіть файл із іменем wpbbin.exe . Файл C: \ Windows \ system32 \ wpbbin.exe існує лише в тому випадку, якщо Windows скопіює його з мікропрограми UEFI. Якщо його немає, виробник ПК не використовував WPBT для автоматичного запуску програмного забезпечення на ПК.
Уникання WPBT та інших небажаних програм
Корпорація Майкрософт створила ще кілька правил для цієї функції після безвідповідального збою безпеки Lenovo. Але незрозуміло, що ця функція навіть існує в першу чергу - і особливо незрозуміло, що Microsoft надаватиме її виробникам ПК без чітких вимог безпеки або вказівок щодо її використання.
Переглянуті вказівки вказують OEM-виробникам гарантувати, що користувачі можуть насправді вимкнути цю функцію, якщо вони цього не хочуть, але рекомендації Microsoft раніше не заважали виробникам ПК зловживати безпекою Windows. Свідок Samsung постачає ПК із вимкненим Центром оновлення Windows оскільки це було простіше, ніж робота з Microsoft, щоб переконатися, що належні драйвери були додані до Windows Update.
ПОВ'ЯЗАНІ: Єдиним безпечним місцем, де можна придбати ПК з Windows, є Магазин Microsoft
Це ще один приклад того, як виробники ПК не сприймають безпеку Windows серйозно. Якщо ви плануєте придбати новий ПК з ОС Windows, ми рекомендуємо придбати його в магазині Microsoft, Microsoft насправді піклується про ці ПК і гарантує, що у них немає шкідливого програмного забезпечення, такого як Superfish від Lenovo, Disable_WindowsUpdate.exe від Samsung, функція LSE від Lenovo, і всі інші сміття, з якими може поставитись типовий ПК.
Коли ми писали про це раніше, багато читачів відповіли, що це непотрібно, тому що ви завжди можете просто виконати чисту інсталяцію Windows, щоб позбутися будь-якого вірусу. Ну, мабуть, це неправда - єдиний надійний спосіб отримати ПК із Windows без вірусів - це з магазину Microsoft . Це не повинно бути таким чином, але це так.
Що особливо турбує WPBT, це не лише повна невдача Lenovo у його використанні для випікання вразливостей системи безпеки та шкідливого програмного забезпечення під час чистої установки Windows. Особливо турбує те, що Microsoft, насамперед, надає подібні функції виробникам ПК - особливо без належних обмежень та вказівок.
Також пройшло кілька років, перш ніж ця функція навіть стала помітною у всьому світі техніки, і це сталося лише через неприємну вразливість системи безпеки. Хто знає, які ще неприємні функції вкладаються у Windows для зловживання виробниками ПК. Виробники ПК затягують репутацію Windows, і Microsoft повинна взяти їх під контроль.
Кредит зображення: Кори М. Греньє на Flickr
