Lenovo PC とラップトップには BIOS レベルのバックドアがあるようです

Lenovo PC およびラップトップは、BIOS にルートキットを隠しているようです

中国のコンピュータおよびラップトップメーカーである Lenovo は、自分の PC/ラップトップが BIOS レベルで隠されたバックドアを備えた状態で出荷されていることがユーザーに発見され、再び嵐の目にさらされています。今年の初めに、すべての Lenovo PC/ラップトップに、と呼ばれるスパイウェアが同梱されていることが判明しました。スーパーフィッシュ。

秘密の UEFI レベルのスパイウェアインストーラーキットの発見はユーザーによって行われました。ウィルスミス1701アルステクニカフォーラムで。彼は Lenovo G50-80 を購入し、市販のディスクを使用してクリーンインストールを実行しました。しかし、システムを再起動しようとすると、次のようなポップアップメッセージが表示されました。

「注: これは製品自体からのものであり、ネットワークからのものではありません。システムのファームウェアとソフトウェアのアップグレードを継続して、システムをより安定、安全、高性能にするために、Lenovo システム最適化ソフトウェアをダウンロードしてインストールしてください。ソフトウェアのダウンロードプロセスでは、インターネットに接続する必要があります。 Lenovo ライセンス契約 LLA を読むにはここをクリックしてください。」

ポップアップには、キャンセルするか、同意してインストールするかのオプションがあります。しかし、それはここでは問題ではありません。ユーザーはクリーンインストールを試行したため、そもそもそのようなメッセージが表示されるはずはありません。このメッセージは、Lenovo PC の UEFI/BIOS レベルのスパイウェアを示している可能性があります。

別のユーザー、チャック11Windows システムで、LenovoCheck.exe や LenovoUpdate.exe などのファイルを含む多くのエントリが見つかりました。これらのエントリは、ユーザーが削除した場合でも、再起動すると再び表示されます。

「ああ、タスクマネージャーの [サービス] タブを確認してください。[Lenovo Update] サービスがそこにあり、実行されています (ポップアップに NO と言ったのに!) そして、c:\windows\system32 には LenovoCheck のような大量のがらくたがあります。 exe、LenovoUpdate.exe、およびレジストリ内のさまざまなもの。
これらのファイルを削除するか、ジャンクファイルで上書きすると、再起動すると再び表示されます。サービスを無効にすると、再起動するとサービスが実行されます。
これに気づいた他の人については、このスレッドを参照してください。詳細については、誰も彼のことを信じていません。彼はそれがUEFIだと思っている」

別のユーザー、ゲ814、ファイル LenovoCheck.exe および LenovoUpdate.exe が Lenovo PC およびラップトップによってどのように作成されるかについて詳細な回答が得られました。

Windows 7 または 8 を起動する前に、BIOS は C:\Windows\system32\autochk.exe が Lenovo のものであるかオリジナルの Microsoft のものであるかをチェックすると彼は言います。 lenovo のものでない場合は、それを C:\Windows\system32\0409\zz_sec\autobin.exe に移動し、独自の autochk.exe を書き込みます。

ブート中に、Lenovoautochk.exeを書きますLenovoUpdate.exeそしてLenovoCheck.exeファイルを system32 ディレクトリにコピーしますが、これは行うべきではありません。次に、インターネット接続が確立されたときにいずれかのサービスを実行するようにサービスを設定します。

インターネットに接続すると、サイト > https://download.lenovo.com/ideapad/wind … 2_oko.json にアクセスします。

これ自体が Lenovo PC ユーザーにとって非常に深刻な問題です。「ForceUpdate」パラメーターと SSL の欠如の組み合わせにより、ユーザーのトラフィックを傍受できる者による中間者攻撃やリモートコード実行に対して脆弱になります。

Lenovo PC およびラップトップによって作成されたこれら 2 つのバックドアから逃れる唯一の方法は、BIOS をフラッシュすることです。そうは言っても、BIOS/ファームウェアのフラッシュにかなり精通しているユーザーのみが続行してください。そうでない場合は、PC/ラップトップをブリックする可能性があります。

まず、USB フラッシュ ROM リーダー/ライター (安価な CH341A で問題なく動作します) と SOIC-8 テストクリップが必要になります。
ラップトップから背面カバーを外し、バッテリーも外して、マザーボード上の BIOS チップを見つけます。
テストクリップを BIOS に接続し、テストクリップのもう一方の端を購入した USB ライターに接続します。
次に、USB ライターを別のコンピュータに接続します。
他のコンピュータで USB リーダー/ライターを使用して BIOS のコピーをダンプします。
BIOS ダンプは 8MB のファイルになります。最初の 2MB と最後の 6MB の 2 つのファイルに分割する必要があります。
UEFITool を github からダウンロード(https://github.com/LongSoft/UEFITool) を選択し、6MB ファイルを開きます。
モジュールを調べて「NovoSecEngine2」というモジュールを見つけて、削除対象としてマークします。
6MB ファイルの新しいコピーを保存します。
次に、先ほどの 2MB の先頭から新しい 6MB ファイルを末尾に追加して、新しい 8MB ファイルを作成します。
USB リーダー/ライターを使用して、新しい 8MB ファイルを PC/ラップトップの BIOS にフラッシュします
完了したら、ワイヤーを外し、ラップトップを元に戻します。
Windows の新しいコピーを再度インストールし、C:\Windows\system32\autochk.exe ファイルをチェックして、Lenovo ではなく Microsoft によって署名されていることを確認します。
オリジナルの Microsoft ノートパソコンをお持ちの場合は、おめでとうございます。ラップトップはきれいになりました。

Lenovo が、不要なスパイウェアやブロートウェアを強制的にインストールするブートレベルのルートキットを搭載した PC/ラップトップを出荷していることは明らかです。ルートキットによって作成されたファイルはさらに接続されます

更新 : Lenovo は、LSE ルートキットに関する声明を発表し、LSE は Lenovo PC にインストールされなくなったと述べました。また、同社の人気のThink-Padやその他のThinkブランドのPC/ラップトップはこの脆弱性の影響を受けないとも付け加えた。

また同社は顧客に対し、LSEを無効にできるようファームウェアを最新リリースに直ちにアップデートするよう要請している。

Microsoft が最近アップデートをリリースしましたセキュリティガイドラインこの Windows BIOS 機能を最適に実装する方法については、このリンク先 PDF の 10 ページを参照してください。 Lenovo による LSE の使用は、これらの新しいガイドラインと一致していませんでした。その結果、LSE は Lenovo システムにインストールされなくなりました。この機能を無効にするか削除する新しい BIOS ファームウェアでシステムを更新することを強くお勧めします。

影響を受ける Lenovo 製品の LSE ルートキットのリストは以下のとおりです。

レノボノートブック