Lenovo-rootkit belemmert propere Windows-installatie
Lenovo, samen met HP verantwoordelijk voor het overgrote merendeel van ’s werelds computerverkoop, schuwt de controverse niet. Eerder dit jaar kwam het populaire Chinese merk in opspraak omdat het Superfish-adware op z’n laptops plaatste en hoewel dat probleem intussen verholpen is komt nu aan het licht dat Lenovo er nog andere dubieuze bloatware-praktijken op nahoudt.
Rootkit
Een gebruiker op het forum van Arstechnica ontdekte dat verschillende Lenovo-computers uitgerust worden met een stukje software dat voor je Windows-installatie laadt. Die software wordt vanuit de Bios opgestart, waarna er enkele Windowsbestanden overschreven worden. Concreet wordt het C:\Windows\System32\autochk.exe-bestand gecontroleerd. Is dat bestand de officiële Microsoft-variant, en dus niet afkomstig van Lenovo zelf, dan wordt het verbannen naar een andere map. Vervolgens zet de software zijn eigen versie van autochk.exe in de plaats. De gebruikte techniek is gelijkaardig aan wat rootkit-malware doet.
Autochk.exe plaatst op zijn beurt de bestanden LenovoUpdate.exe en LenovoCheck.exe naar System32, waarna een service wordt geladen. Wanneer Windows vervolgens wordt opgestart en een internetverbinding present is, belt Lenovo’s updatedienst huiswaarts. Lenovo noemt de bios-software Lenovo Service Engine (LSE). De LSE stuurt anonieme systeemdata naar de Lenovoservers en wordt ook gebruikt om OneKey Optimizer binnen te halen. Met dat tooltje worden drivers en firmware maar ook bloatware geüpdatet.
Kwetsbaarheid
Op zich is de aanwezigheid van de LSE geen drama te noemen. Hoewel de gebruikte techniek niet helemaal koosjer is, zorgt de LSE er voor dat mensen die noodgedwongen een propere installatie maken toch snel aan alles-Lenovo kunnen. Wie een Clean Install van Windows uitvoert met de specifieke bedoeling om alles dat niet Windows of driver is naar de prullenbak te verbannen is er wel aan voor de moeite. Bovendien boezemen de praktijken niet echt vertrouwen in bij de eindgebruiker.
Bovendien vormt de LSE een veiligheidsprobleem. Eind vorige maand kwam aan het licht dat hackers de LSE konden uitbuiten om je systeem over te nemen. Bovendien publiceerde Microsoft recentelijk nieuwe richtlijnen waaraan de LSE niet meer voldoet. Redenen genoeg dus om Lenovo’s rootkit van je systeem te zwieren, maar dat is eenvoudiger gezegd dan gedaan.
Oplossing
Je moet zelf de LSE-disabler-tool downloaden en dan uitvoeren als administrator. Een commandline-tool zal vervolgens een half minuutje z’n ding doen. De LSE-service wordt gestopt, de geïnstalleerde bestanden worden verwijderd, de originele autocheck wordt in ere herstelt en de UEFI-variabele die LSE toestaat bij het opstarten wordt uitgeschakeld. De tool is hier te downloaden. Je zal natuurlijk ook je Bios moeten updaten. De recentste versie vind je terug via de Lenovo website. Zoek gewoon naar je computermodel.
Niet alle toestellen van Lenovo werden uitgerust met de LSE. Heb je een Think-computer, dan ben je sowieso veilig. Eigenaars onder andere de populaire Flex-laptops downloaden de tool best wel. Een volledige lijst met aangetaste toestellen vind je hier.