Lenovo installeert ongevraagde bestanden op schone Windows-installaties via UEFI-rootkits

Lenovo blijkt opnieuw uit zichzelf bestanden te installeren op systemen. Het bedrijf gebruikt UEFI- en BIOS-rootkits om zijn eigen software op laptops te installeren, zelfs wanneer de gebruiker daarop een schone installatie uitvoert.

Dat ontdekten gebruikers van het forum van Ars Technica. Eén van hen klaagt dat hij Lenovo-software terugvond op een systeem waar hij een volledige clean install over had gedaan.
 

Pop-ups en adware

Na een schone installatie verschijnt een pop-up waarbij de gebruiker wordt gevraagd de licentievoorwaarden van Lenovo te accepteren. Ook staan Lenovo-updates in de map System32 van Windows. Wanneer gebruikers die verwijderen, verschijnen ze alsnog na een reboot.

De installatie komt alleen voor bij Windows 7 en 8, maar niet bij Linux. Het is niet bekend of het ook gebeurt bij Windows 10-installaties, die al dan niet zijn bijgewerkt vanaf Windows 7 of 8.
 

Autochk.exe vervangen

Lenovo kijkt tijdens de installatie in de map C:\Windows\System32, de systeemmap van Windows. Daar zoekt het bestand naar 'autochk.exe', het bestand dat de schijf controleert op errors. Als autochk.exe in System32 staat, verplaatst Lenovo dat en zet het zijn eigen update-bestanden ervoor in de plaats.
 

Eigen updates

Lenovo's eigen 'autochk' voegt twee extra bestanden toe aan System32: LenovoUpdate.exe en LenovoCheck.exe. Het is onduidelijk wat die precies doen, maar de bestanden worden op de computer in werking gesteld wanneer er een actieve internetverbinding tot stand wordt gebracht.
 

BIOS/UEFI

De installatie van de update-bestanden komt ook voor in schone installaties van het besturingssysteem, waaruit je zou kunnen concluderen dat de bestanden vanuit de BIOS of de UEFI worden meegeleverd op het systeem.
 

Fix

Lenovo heeft vorige week een reactie gegeven op het nieuws, waarin het bedrijf stelt dat het gaat om een lek in het BIOS/UEFI-systeem dat door een beveiligingsonderzoeker werd aangetoond. Nadat Lenovo erover hoorde heeft het bedrijf maatregelen genomen door nieuwe systemen niet meer met de betreffende software te verschepen.

Ook is er een fix uitgebracht voor gebruikers die de lekke systemen kochten. Die moeten daarvoor echter wel hun BIOS of UEFI handmatig updaten; een technisch lastig en omslachtig proces.

Het is niet de eerste keer dat Lenovo betrapt wordt op het plaatsen van hardnekkige software. Een half jaar geleden vond ook al het Superfish-debakel plaats. Superfish was een agressieve vorm van adware die standaard op Lenovo-laptops werd meegeleverd, en die beveiligingscertificaten overschreef om advertenties te tonen.

PCMweb heeft Lenovo om een reactie gevraagd. Zodra we die binnenhebben, laten we jullie dat weten.

Deel dit artikel
Voeg toe aan favorieten