Lenovos Service Engine: BIOS-Rootkit direkt vom Hersteller

Im BIOS von vielen Desktop-PCs und Laptops von Lenovo versteckt sich hinter der Option Lenovo Service Engine (LSE) im Grunde ein Rootkit, über das der Hersteller Computer aushorchen und Anwendungen direkt aus dem BIOS auf Geräte pushen kann. Das bemerkte ein Besitzer eines betroffenen Laptops, als er Windows 8 ohne Internetverbindung neu installierte und sich dennoch ein Lenovo-Dienst im System eingenistet hat.

Über die LSE kann der Hersteller zudem prüfen, ob bestimmte Lenovo-Dienste noch laufen und diese gegebenenfalls wiederherstellen. Das Ganze soll anonymisiert ablaufen, erklärte Lenovo. Aufgrund der Kritik von Nutzern hat der Hersteller eigenen Angaben zufolge bereits Ende Juli reagiert; neue Computer sollen seitdem nicht mehr mit über die LSE-Funktion verfügen.

Angreifer könnten Schadcode in Systeme schmuggeln

Neben der Schnüffel-Kritik haben wohl auch Sicherheitsbedenken Lenovo zur Abschaffung von LSE bewegt, denn Angreifer könnten unter gewissen Umständen diesen Kanal missbrauchen, um Schadcode auf Systeme zu schmuggeln.

Bei der Software-Installation setzt Lenovo auf Microsofts Windows Platform Binary Table (WPBT). Dabei werden im Zuge einer Windows-Installation Binärdaten aus dem BIOS nachgeladen, die Dritte dort abgelegt haben.

Verschiedene Auswege

Betroffen sind diverse Notebooks mit Windows 7, 8 und 8.1 und Desktop-PCs, die auf Windows 8 und 8.1 setzen. Die Business-Geräte der Think-Serie sollen nicht betroffen sein.

Laptop-Besitzer können LSE mit einem vom Hersteller bereitgestellten Tool ausschalten. Für die Desktop-PCs hat Lenovo eine Anleitung zum Deaktivieren des LSE-Services veröffentlicht. Außerdem stehen für einige Rechner BIOS-Versionen ohne LSE zur Verfügung.

In jüngster Vergangenheit sorgte Lenovo im Zuge der Superfish-Affäre für Negativ-Schlagzeilen. Dabei lieferte Lenovo Laptops mit vorinstallierter Adware aus, die Systeme anfällig für Man-in-the-Middle-Angriffe machte. (des)