Деякі помітили в той час, але Microsoft додала в Windows 8 нову функцію, яка дозволяє виробникам заражати прошивку UEFI лайном. Windows продовжить установку і відновлення цього непотрібного програмного забезпечення навіть після виконання чистої установки.
Ця функція як і раніше присутня в Windows 10, і абсолютно незрозуміло, чому Microsoft дає виробникам ПК стільки енергії. Це підкреслює важливість покупки ПК в Магазині Microsoft - навіть виконання чистої установки може не позбутися всіх встановлених програм-носіїв.
WPBT 101
Починаючи з Windows 8, виробник ПК може вбудовувати програму - по суті, файл.exe Windows - в прошивку UEFI для ПК. Цей параметр зберігається в розділі «Двоїчна таблиця платформи Windows» (WPBT). Кожного разу, коли Windows завантажується, вона переглядає прошивку UEFI для цієї програми, копіює її з прошивки на диск операційної системи і запускає її. Сама Windows не дає можливості запобігти цьому. Якщо прошивка виробника UEFI пропонує його, Windows запустить його без питань.
Lenovo LSE і її дірки в безпеці
Неможливо написати про цю сумнівну функцію, не зазначивши випадок, який привернув її увагу громадськості. Lenovo постачала різні ПК з підтримкою так званої «служби підтримки Lenovo» (LSE). Ось що стверджує Lenovo - це повний список вразливих комп'ютерів.
Коли програма автоматично запускається Windows 8, Lenovo Service Engine завантажує програму під назвою OneKey Optimizer і повідомляє в Lenovo деяку кількість даних. Lenovo встановлює системні служби, призначені для завантаження та оновлення програмного забезпечення з Інтернету, що унеможливлює їх видалення - вони навіть автоматично повертаються після чистої установки Windows.
Lenovo пішла ще далі, розширивши цю тіньову техніку до Windows 7. UEFI перевіряє файл C: \ Windows\system32\autochk.exe і перезаписує його власною версією Lenovo. Ця програма запускається при завантаженні для перевірки файлової системи в Windows, і цей прийом дозволяє Lenovo змусити цю брудну практику працювати і в Windows 7. Це говорить про те, що WPBT навіть не потрібен - виробники ПК можуть просто перезаписати системні файли Windows своїми прошивками.
Microsoft і Lenovo виявили серйозну вразливість безпеки, яку можна використовувати, тому Lenovo, на щастя, припинила постачати ПК з цим неприємним сміттям. Lenovo пропонує оновлення, яке видалить LSE з ноутбуків, і оновлення, яке видалить LSE з настільних ПК. Однак вони не завантажуються і не встановлюються автоматично, тому на багатьох, ймовірно, найбільш вразливих комп'ютерах Lenovo буде встановлено це сміття в їх прошивці UEFI.
Це ще одна неприємна проблема безпеки від виробника ПК, яка привела нас до комп'ютерів, заражених Superfish. Неясно, чи зловживали WPBT аналогічним чином на деяких своїх комп'ютерах інші виробники ПК.
:
Що Microsoft говорить про це?
Як зазначає Lenovo:
"Microsoft нещодавно випустила оновлені керівні принципи безпеки про те, як найкращим чином реалізувати цю функцію. Використання Lenovo LSE не відповідає цим рекомендаціям, тому Lenovo припинила постачати моделі настільних комп'ютерів з цією утилітою і рекомендує користувачам з цією утилітою запускати утиліту "очищення", яка видаляє файли LSE з робочого столу ".
Іншими словами, функція Lenovo LSE, яка використовує WPBT для завантаження небажаних програм з Інтернету, була дозволена відповідно до оригінального дизайну Microsoft і рекомендацій для функції WPBT. Рекомендації тільки зараз були доопрацьовані.
Microsoft не пропонує багато інформації про це. На веб-сайті Microsoft є тільки один файл.docx - навіть не веб-сторінка з інформацією про цю функцію. Ви можете дізнатися все, що ви хочете про це, прочитавши документ. Це пояснює обґрунтування Microsoft для включення цієї функції, використовуючи як приклад постійне протиугінне програмне забезпечення:
"Основною метою WPBT є збереження критично важливого програмного забезпечення навіть після зміни або перевстановлення операційної системи в" чистій "конфігурації. Одним з варіантів використання WPBT є включення протиугінного програмного забезпечення, яке необхідно зберегти в разі крадіжки, форматування та перевстановлення пристрою. У цьому сценарії функціональність WPBT надає можливість програмному забезпеченню захисту від крадіжки перевстановлювати себе в операційній системі і продовжувати працювати, як передбачалося ".
Цей захист було додано до документа тільки після того, як Lenovo використовувала його для інших цілей.
Чи включає ваш комп'ютер програмне забезпечення WPBT?
На комп'ютерах, що використовують WPBT, Windows зчитує двійкові дані з таблиці в прошивці UEFI і копіює їх у файл з іменем wpbin.exe при завантаженні.
Ви можете перевірити свій власний комп'ютер, щоб побачити, чи включає виробник програмне забезпечення в WPBT. Щоб з'ясувати це, відкрийте каталог C: \ Windows\system32 і знайдіть файл з назвою wpbbin.exe. Файл C: \ Windows\system32\wpbin.exe існує, тільки якщо Windows копіює його з прошивки UEFI. Якщо він відсутній, виробник вашого ПК не використовував WPBT для автоматичного запуску програмного забезпечення на вашому комп'ютері.
Уникнення WPBT та іншої небажаної програми
Microsoft встановила ще кілька правил для цієї функції після безвідповідальної помилки Lenovo. Але це збиває з пантелику, що ця функція взагалі існує в першу чергу - і особливо збиває з пантелику, що Microsoft надасть її виробникам ПК без будь-яких чітких вимог безпеки або рекомендацій щодо її використання.
Переглянуті керівні принципи наказують виробникам обладнання гарантувати, що користувачі можуть фактично відключити цю функцію, якщо вони цього не хочуть, але керівні принципи Microsoft не перешкоджали виробникам ПК зловживати безпекою Windows в минулому. Подивіться, як Samsung постачає ПК з відключеним Центром оновлення Windows, тому що це було простіше, ніж працювати з Microsoft, щоб переконатися, що в Центр оновлення Windows були додані потрібні драйвери.
Це ще один приклад того, як виробники ПК не сприймають всерйоз безпеку Windows. Якщо ви плануєте придбати новий ПК з Windows, ми рекомендуємо вам купити його в Магазині Microsoft. Microsoft дійсно піклується про ці ПК і гарантує, що на них немає шкідливого програмного забезпечення, такого як Lenovo Superfish, Disable_WindowsUpdate.exe від Samsung, функція Lenovo LSE Lenovo, і все інше, що може бути у типового ПК.
Коли ми писали це в минулому, багато читачів відповіли, що в цьому немає необхідності, тому що ви завжди можете просто виконати чисту установку Windows, щоб позбутися будь-якого шкідливого ПЗ. Що ж, мабуть, це не так - єдиний вірний спосіб отримати ПК з ОС Windows, що не містить вірусів, - це магазин Microsoft Store. Так не повинно бути, але це так.
Що особливо турбує WPBT, так це не повна відмова Lenovo від його використання для захисту від вразливостей і небажаної програми в чистих установках Windows. Що особливо турбує, так це те, що Microsoft надає такі функції виробникам ПК, особливо без належних обмежень або рекомендацій.
Минуло також кілька років, перш ніж ця функція стала помітною в більш широкому технологічному світі, і це сталося тільки через неприємну вразливість безпеки. Хто знає, які ще неприємні функції вбудовані в Windows, щоб виробники ПК могли ними зловживати. Виробники ПК тягнуть репутацію Windows через гидоту, і Microsoft повинна взяти їх під контроль.