Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows

Table des matières:

Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows
Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows

Vidéo: Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows

Vidéo: Zombie Crapware: Fonctionnement de la table binaire de la plate-forme Windows
Vidéo: How to Add Dropbox to Office 2013 - YouTube 2024, Mars
Anonim
Peu de gens ont remarqué à ce moment-là, mais Microsoft a ajouté une nouvelle fonctionnalité à Windows 8 qui permet aux fabricants d’infecter le micrologiciel UEFI avec crapware. Windows continuera à installer et à ressusciter ce logiciel indésirable même après une installation propre.
Peu de gens ont remarqué à ce moment-là, mais Microsoft a ajouté une nouvelle fonctionnalité à Windows 8 qui permet aux fabricants d’infecter le micrologiciel UEFI avec crapware. Windows continuera à installer et à ressusciter ce logiciel indésirable même après une installation propre.

Cette fonctionnalité continue d’être présente sur Windows 10, et elle explique parfaitement pourquoi Microsoft donnerait autant de pouvoir aux fabricants de PC. Cela souligne l’importance d’acheter des PC sur le Microsoft Store - même une installation propre peut ne pas vous débarrasser de tous les bloatware préinstallés.

WPBT 101

À partir de Windows 8, un fabricant de PC peut incorporer un programme - un fichier Windows.exe essentiellement - dans le micrologiciel UEFI du PC. Celui-ci est stocké dans la section «WPBT» du micrologiciel UEFI. À chaque démarrage de Windows, il examine le microprogramme UEFI de ce programme, le copie depuis le microprogramme sur le lecteur du système d'exploitation et l'exécute. Windows lui-même ne fournit aucun moyen d'empêcher que cela se produise. Si le micrologiciel UEFI du fabricant l’offre, Windows l’exécutera sans poser de question.

Lenovo LSE et ses trous de sécurité

Il est impossible d’écrire sur cette fonctionnalité douteuse sans noter l’affaire qui l’a portée à l’attention du public. Lenovo a fourni divers ordinateurs dotés d’un dispositif appelé «Lenovo Service Engine» (LSE). Voici, selon Lenovo, une liste complète des ordinateurs concernés.

Lorsque le programme est automatiquement exécuté par Windows 8, Lenovo Service Engine télécharge un programme appelé OneKey Optimizer et renvoie une quantité de données à Lenovo. Lenovo configure des services système conçus pour télécharger et mettre à jour les logiciels à partir d’Internet, ce qui rend leur suppression impossible. Ils reviendront même automatiquement après une nouvelle installation de Windows.

Lenovo est allé encore plus loin en étendant cette technique louche à Windows 7. Le micrologiciel UEFI vérifie le fichier C: Windows system32 autochk.exe et le remplace par sa propre version. Ce programme s'exécute au démarrage pour vérifier le système de fichiers sous Windows. Cette astuce permet également à Lenovo de faire fonctionner cette pratique désagréable sous Windows 7. Cela prouve simplement que le WPBT n’est même pas nécessaire - les fabricants de PC pourraient simplement demander à leurs firmwares d’écraser les fichiers système Windows.

Microsoft et Lenovo ont découvert une vulnérabilité majeure en matière de sécurité qui pourrait être exploitée. Lenovo a donc heureusement cessé d'envoyer des ordinateurs avec cette ordure indésirable. Lenovo propose une mise à jour qui supprimera LSE des ordinateurs portables et une mise à jour qui supprimera LSE des ordinateurs de bureau. Toutefois, ces derniers ne sont ni téléchargés ni installés automatiquement. Par conséquent, de nombreux ordinateurs Lenovo, probablement les plus touchés, continueront d’avoir cette installation installée dans leur microprogramme UEFI.

Ceci est juste un autre problème de sécurité du fabricant de PC qui nous a apporté des PC infectés par Superfish. Il n’est pas clair si d’autres fabricants de PC ont abusé du WPBT de la même manière sur certains de leurs ordinateurs.

Image
Image

Que dit Microsoft à ce sujet?

Comme le note Lenovo:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

En d’autres termes, la fonctionnalité Lenovo LSE qui utilise WPBT pour télécharger des logiciels malveillants à partir d’Internet était autorisée dans la conception et les instructions de Microsoft relatives à la fonctionnalité WPBT. Les directives ont seulement été affinées.

Microsoft n’offre pas beaucoup d’informations à ce sujet. Il n’ya qu’un seul fichier.docx - pas même une page Web - sur le site Web de Microsoft contenant des informations sur cette fonctionnalité. Vous pouvez apprendre tout ce que vous voulez à ce sujet en lisant le document. Il explique la raison pour laquelle Microsoft a inclus cette fonctionnalité, en utilisant comme exemple un logiciel antivol persistant:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration. One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

Cette défense de la fonctionnalité n'a été ajoutée au document qu'après que Lenovo l'ait utilisée à d'autres fins.

Votre PC inclut-il le logiciel WPBT?

Sur les PC utilisant WPBT, Windows lit les données binaires de la table dans le microprogramme UEFI et les copie dans un fichier nommé wpbbin.exe au démarrage.

Vous pouvez vérifier votre propre PC pour voir si le fabricant a inclus un logiciel dans le WPBT. Pour le savoir, ouvrez le répertoire C: Windows system32 et cherchez un fichier nommé wpbbin.exe. Le fichier C: Windows system32 wpbbin.exe n'existe que si Windows le copie à partir du microprogramme UEFI. S'il n'est pas présent, le fabricant de votre ordinateur n'a pas utilisé WPBT pour exécuter automatiquement un logiciel sur votre ordinateur.

Image
Image

Éviter WPBT et autres logiciels indésirables

Microsoft a mis en place quelques règles supplémentaires pour cette fonctionnalité à la suite de la défaillance irresponsable de la sécurité de Lenovo. Mais il est déconcertant que cette fonctionnalité existe même au début - et surtout que Microsoft la fournisse aux fabricants de PC sans exigences de sécurité claires ou directives sur son utilisation.

Les directives révisées demandent aux fabricants OEM de s’assurer que les utilisateurs peuvent réellement désactiver cette fonctionnalité s’ils ne le souhaitent pas, mais les directives de Microsoft n’ont pas empêché les fabricants de PC d’abuser de la sécurité de Windows par le passé. Découvrez que les ordinateurs d’exportation Samsung avec Windows Update sont désactivés, car il était plus facile de travailler avec Microsoft que de s’assurer que les pilotes appropriés étaient ajoutés à Windows Update.

C'est encore un autre exemple de fabricants de PC qui ne prennent pas la sécurité de Windows au sérieux.Si vous envisagez d’acheter un nouveau PC Windows, nous vous recommandons d’en acheter un dans la boutique Microsoft. Microsoft s’intéresse réellement à ces ordinateurs et s’assure qu’ils ne disposent pas de logiciels nuisibles tels que Superfish de Lenovo, Disable_WindowsUpdate.exe de Samsung, fonctionnalité LSE de Lenovo, et toutes les autres ordures qu'un PC typique pourrait venir avec.

Lorsque nous avons écrit cela dans le passé, de nombreux lecteurs ont répondu que cela était inutile car vous pouviez toujours effectuer une installation propre de Windows pour supprimer tout bloatware. Eh bien, apparemment, ce n’est pas vrai - le seul moyen sûr d’obtenir un PC Windows exempt de logiciels malveillants consiste à utiliser Microsoft Store. Ce ne devrait pas être comme ça, mais ça l'est.

Ce qui est particulièrement troublant à propos de WPBT n’est pas seulement l’échec complet de Lenovo à l’utiliser pour créer des vulnérabilités de sécurité et des junkware lors d’installations propres de Windows. Ce qui est particulièrement inquiétant, c’est que Microsoft fournisse des fonctionnalités comme celle-ci aux fabricants de PC, en particulier sans limitations ou conseils appropriés.

Il a également fallu plusieurs années avant que cette fonctionnalité ne soit remarquée par le grand monde de la technologie, et cela n’est arrivé qu’à cause d’une fâcheuse vulnérabilité de sécurité. Qui sait quelles autres fonctionnalités malveillantes sont intégrées à Windows pour que les fabricants de PC en abusent. Les fabricants de PC traînent en longueur la réputation de Windows et Microsoft doit les maîtriser.

Conseillé: