Некоторые пользователи заметили, что Microsoft добавила в Windows 8 новую функцию, которая позволяет производителям заражать прошивку UEFI crapware. Windows продолжит установку предустановленного ПО производителя, даже при условии чистой установки Windows.
Эта функция продолжила развитие и была представлена в Windows 10, таким образом Microsoft дала в руки производителей ПК мощный инструмент. Теперь желание собирать компьютер самому еще более подстегивается желанием избавиться от предустановленного мусорного ПО.
WPBT 101
Начиная с Windows 8, производитель ПК может включать в прошивку UEFI исполняемое приложение *.exe Windows. Приложение хранится в секции «Windows Platform Binary Table» (WPBT) секции UEFI. При загрузке Windows ищет в этой секции прошивки приложение поставщика компьютера, копирует его на системный диск и запускает его. В самой Windows нет механизмов и инструментов для отключения этой функции. Приложение поставщика будет выполнено без вопросов.
Lenovo LSE и дыры в безопасности
Нельзя написать о WPBT не упомянув о истории с Lenovo, которая поставляет различные ПК со встроенной «Lenovo Service Engine» (LSE). Полный список ПК с вшитой LSE доступен по ссылке.
Когда программа автоматически запускается в Windows 8, Lenovo Service Engine загружает программу OneKey Optimizer и отправляет некоторое количество данных обратно в Lenovo. Lenovo устанавливает в систему Windows сервис, разработанный для загрузки и обновления ПО из Интернет, делая невозможным его удаление.
Lenovo пошло далее, достав своим crapware и Windows 7. Прошивка UEFI проверяет файл C:\Windows\system32\autochk.exe и перезаписывает его собственной версией от Lenovo. Эта программа запускается при загрузке системы для проверки файловой системы в Windows, этот трюк позволяет Lenovo запустить свое ПО в Windows без участия конечного пользователя. Это демонстрирует несовершенство системы WPBT — производители ПК не должны модифицировать системные файлы Windows.
Microsoft и Lenovo открыли серьезную дыру в системе безопасности, которая может использоваться злоумышленниками для получения несанкционированного доступа к компьютеру. Поэтому Lenovo прекратило поставки новых ПК с Lenovo Service Engine и выпустило обновления, позволяющие отключать автоматическое исполнение кода UEFI.
Как проверить свой компьютер на наличие WPTB-программ?
Если на ПК используется WPBT, Windows считывает бинарные данные из UEFI в файл wpbbin.exe в автозагрузку системы.
Вы можете проверить свой собственный ПК на наличие такого исполняемого файла wpbbin.exe. Искать его нужно в папке C:\Windows\system32\, этот файл будет в системе только в том случае, если ваш компьютер использует технологию WPTB. Кстати, совсем не обязательно, что ваш производитель ПК использует эту технологию для автоматического исполнения своего ПО, но такой функционал UEFI включен и нужно об этом знать.
