Wenige Leute bemerkten es damals, aber Microsoft fügte Windows 8 eine neue Funktion hinzu, mit der Hersteller die UEFI-Firmware mit Crapware infizieren können. Windows installiert und installiert diese Junk-Software auch nach einer Neuinstallation erneut.

Diese Funktion ist unter Windows 10 weiterhin verfügbar, und es ist absolut rätselhaft, warum Microsoft den PC-Herstellern so viel Macht gibt. Es wird deutlich, wie wichtig es ist, PCs im Microsoft Store zu kaufen - selbst bei einer Neuinstallation werden möglicherweise nicht alle vorinstallierten Bloatware-Geräte entfernt.

WPBT 101

Ab Windows 8 kann ein PC-Hersteller ein Programm - im Wesentlichen eine Windows-EXE-Datei - in die UEFI-Firmware des PCs einbetten. Diese wird im Abschnitt "Windows Platform Binary Table" (WPBT) der UEFI-Firmware gespeichert. Beim Start von Windows wird die UEFI-Firmware für dieses Programm überprüft, von der Firmware auf das Betriebssystemlaufwerk kopiert und ausgeführt. Windows bietet keine Möglichkeit, dies zu verhindern. Wenn die UEFI-Firmware des Herstellers dies anbietet, wird sie von Windows ohne Frage ausgeführt.

Lenovo's LSE und seine Sicherheitslücken

Es ist unmöglich, über diese fragwürdige Funktion zu schreiben, ohne den Fall zu beachten, durch den die Öffentlichkeit darauf aufmerksam gemacht wurde. Lenovo lieferte eine Vielzahl von PCs mit der sogenannten "Lenovo Service Engine" (LSE). Lenovo behauptet, dass es eine vollständige Liste der betroffenen PCs gibt.

Wenn das Programm automatisch von Windows 8 ausgeführt wird, lädt die Lenovo Service Engine ein Programm mit dem Namen OneKey Optimizer herunter und meldet einige Datenmengen an Lenovo zurück. Lenovo richtet Systemdienste ein, die dazu dienen, Software aus dem Internet herunterzuladen und zu aktualisieren, sodass sie nicht entfernt werden können. Sie werden sogar nach einer Neuinstallation von Windows automatisch zurückgegeben.

Lenovo ging noch weiter und erweiterte diese zwielichtige Technik auf Windows 7. Die UEFI-Firmware prüft die Datei C: Windows system32 autochk.exe und überschreibt sie mit der eigenen Version von Lenovo. Dieses Programm wird beim Booten ausgeführt, um das Dateisystem unter Windows zu überprüfen. Mit diesem Trick kann Lenovo diese unangenehme Praxis auch unter Windows 7 ausführen. Es zeigt sich nur, dass das WPBT nicht einmal notwendig ist - PC-Hersteller könnten Windows-Systemdateien einfach überschreiben.

Microsoft und Lenovo haben dabei eine große Sicherheitslücke entdeckt, die ausgenutzt werden kann. Daher hat Lenovo den Versand von PCs mit diesem bösen Müll dankenswerterweise eingestellt. Lenovo bietet ein Update zum Entfernen von LSE von Notebook-PCs und ein Update zum Entfernen von LSE von Desktop-PCs an. Diese werden jedoch nicht automatisch heruntergeladen und installiert, daher wird bei vielen - wahrscheinlich den meisten betroffenen Lenovo PCs - dieser Junk weiterhin in der UEFI-Firmware installiert.

Dies ist nur ein weiteres böses Sicherheitsproblem des PC-Herstellers, das uns mit Superfish infizierte PCs brachte. Es ist unklar, ob andere PC-Hersteller das WPBT auf einigen ihrer PCs auf ähnliche Weise missbraucht haben.

Was sagt Microsoft dazu?

Wie Lenovo bemerkt:

“Microsoft has recently released updated security guidelines on how to best implement this feature. Lenovo’s use of LSE is not consistent with these guidelines and so Lenovo has stopped shipping desktop models with this utility and recommends customers with this utility enabled run a “clean up” utility that removes the LSE files from the desktop.”

Mit anderen Worten, die Lenovo LSE-Funktion, die WPBT zum Herunterladen von Junkware aus dem Internet verwendet, war nach dem ursprünglichen Design und den Richtlinien von Microsoft für die WPBT-Funktion zulässig. Die Richtlinien wurden erst jetzt verfeinert.

Microsoft bietet nicht viele Informationen dazu an. Es gibt nur eine einzige .docx-Datei - nicht einmal eine Webseite - auf der Microsoft-Website mit Informationen zu dieser Funktion. Sie können alles lernen, was Sie wollen, indem Sie das Dokument lesen. Es erläutert die Gründe von Microsoft für die Verwendung dieser Funktion am Beispiel permanenter Diebstahlsicherungssoftware:

“The primary purpose of WPBT is to allow critical software to persist even when the operating system has changed or been reinstalled in a “clean” configuration.  One use case for WPBT is to enable anti-theft software which is required to persist in case a device has been stolen, formatted, and reinstalled. In this scenario WPBT functionality provides the capability for the anti-theft software to reinstall itself into the operating system and continue to work as intended.”

Diese Verteidigung der Funktion wurde dem Dokument erst hinzugefügt, nachdem Lenovo es für andere Zwecke verwendet hatte.

Enthält Ihr PC WPBT-Software?

Auf PCs, die WPBT verwenden, liest Windows die binären Daten aus der Tabelle in der UEFI-Firmware und kopiert sie beim Booten in eine Datei mit dem Namen wpbbin.exe.

Sie können Ihren eigenen PC prüfen, ob der Hersteller Software in das WPBT aufgenommen hat. Um dies herauszufinden, öffnen Sie das Verzeichnis C: Windows system32 und suchen Sie nach einer Datei mit dem Namenwpbbin.exe. Die Datei C: Windows system32 wpbbin.exe ist nur vorhanden, wenn Windows sie von der UEFI-Firmware kopiert. Ist dies nicht der Fall, hat der PC-Hersteller WPBT nicht verwendet, um die Software auf Ihrem PC automatisch auszuführen.

Vermeidung von WPBT und anderer Junkware

Microsoft hat im Zuge des unverantwortlichen Sicherheitsfehlers von Lenovo einige weitere Regeln für diese Funktion aufgestellt. Es ist jedoch verwirrend, dass es diese Funktion überhaupt gibt - und vor allem, dass Microsoft es PC-Herstellern ohne klare Sicherheitsanforderungen oder Richtlinien zur Verwendung zur Verfügung stellen würde.

Die überarbeiteten Richtlinien weisen OEMs auf, sicherzustellen, dass Benutzer diese Funktion tatsächlich deaktivieren können, wenn sie es nicht möchten. Die Richtlinien von Microsoft haben jedoch nicht verhindert, dass PC-Hersteller die Windows-Sicherheit in der Vergangenheit missbraucht haben. Erleben Sie, wie Samsung PCs mit deaktiviertem Windows Update ausliefert, da dies einfacher ist als die Arbeit mit Microsoft, um sicherzustellen, dass die richtigen Treiber zu Windows Update hinzugefügt wurden.

Dies ist ein weiteres Beispiel dafür, dass PC-Hersteller Windows-Sicherheit nicht ernst nehmen.Wenn Sie einen neuen Windows-PC erwerben möchten, empfehlen wir Ihnen, einen im Microsoft Store zu kaufen. Microsoft kümmert sich tatsächlich um diese PCs und stellt sicher, dass sie keine schädliche Software wie Lenovos Superfish, Samsungs Disable_WindowsUpdate.exe, Lenovos LSE-Funktion, und all den anderen Müll, den ein typischer PC haben könnte.

Als wir dies in der Vergangenheit geschrieben haben, haben viele Leser gesagt, dies sei unnötig, da Sie immer eine Neuinstallation von Windows durchführen könnten, um Bloatware zu entfernen. Anscheinend ist das nicht wahr - der einzige todsichere Weg, einen bloatware-freien Windows-PC zu erhalten, ist der Microsoft Store. Es sollte nicht so sein, aber es ist so.


Was den WPBT besonders beunruhigt, ist nicht nur das völlige Versagen von Lenovo, Sicherheitslücken und Junkware in saubere Windows-Installationen zu verwandeln. Besonders besorgniserregend ist, dass Microsoft den PC-Herstellern von vornherein solche Funktionen bereitstellt - insbesondere ohne entsprechende Einschränkungen oder Anweisungen.

Es dauerte auch mehrere Jahre, bis dieses Merkmal in der weiteren Tech-Welt überhaupt wahrgenommen wurde, und dies geschah nur aufgrund einer unangenehmen Sicherheitslücke. Wer weiß, welche anderen bösen Features in Windows für PC-Hersteller verbannt werden, um sie zu missbrauchen. PC-Hersteller ziehen den Ruf von Windows durch den Müll und Microsoft muss sie unter Kontrolle halten.

Top-Tipps:
Kommentare: