|
Bei der Inbetriebnahme eines neuen Asus-Boards wie das Maximus
XI Hero (Wi-Fi) und der Installation von Windows wird schon ohne
Internetverbindung von der Update-Software "Asus Armoury Crate"
gestartet. Diese Software wird dem Betriebsystem in der Standardeinstellung
des BIOS-Setup über eine Funktion quasi unterschoben. Dabei
wird die von Microsoft für solche Zwecke vorgesehene Windows
Platform Binary Table (WPBT) eine ACPI-Tabelle im (UEFI-)BIOS von
Asus genutzt.
Windows liest diese Tabelle aus und kopiert dann Dateien, auf die
die Tabelle verweist und führt sie aus.
Dadurch, dass diese Dateien mit im UEFI-BIOS-Image stecken, sind
diese schon bei einer frischen Installation des Betriebssystems
vorhanden oder auch nach einer Neuinstallation oder nach dem Austausch
der Festplatte. Dieses birgt ein gewisses Sicherheitsrisiko, falls
diese Dateien mit Malware infiziert wären oder zum Nachladen
von Schadcode verwendet würden. Im BIOS-Setup des Maximus XI
Hero (Wi-Fi) lässt sich die Funktion "Download & install
Armoury Crate app" abschalten. Im Auslieferungszustand und
nach dem Laden der BIOS-Setup-Default-Werte ist die Funktion allerdings
aktiv.
Ein Setup-Programm startet nach der Windows-Installation und fragt
den Nutzer "Download Armoury Crate & LAN Driver"?
Das Tool installiert, falls jenes bejaht wurde, zunächst einen
ebenfalls im BIOS-Image integrierten Treiber für den Onboard-Netzwerkchip
Intel I219-V. Windows 10 bringt für diesen bisher keinen Netzwerktreiber
mit. Bei der Inbetriebnahme sehr neuer Mainboards ist dieses ein
typisches Problem, welches weitere Probleme aufwirft, wenn kein
optisches Laufwerk vorliegt. Mainboard-Hersteller legen Treiber
auch 2018 noch fast ausschließlich auf optischen Speichermedien
bei, statt etwa einen USB-Stick beizupacken.
Die aus dem BIOS-Flash-Chip Software AsusUpdateCheck.exe holt sich
nach der Installation des Netzwerktreibers das eigentliche Tool
Asus Armoury Crate per Download von Asus-Servern. Weitere aktuelle
Treiber werden dann wiederum von Armoury Crate auf Wunsch beschafft,
ohne das die einzelnen Treiber auf der ASUS-Website zusammengesucht
werden müssen.
Module von Asus Armoury Crate enthalten auch Funktionen, die sich
über Cloud-Server etwa mit der Android-App
Armoury Crate auf einem Smartphone verbinden können, um
beispielsweise Funktionen des Mainboards zu überwachen oder
die Lüfterregelung zu steuern.
2016 wurden Security Update-Tools mehrerer Hardware-Hersteller
von der Firma Duo Labs untersucht, welche darin mehrere Sicherheitslücken
fand, unter anderem in einer Asus-Software. 2015 fiel in Lenovo-Notebooks
die Lenovo
Service Engine (LSE) mit Sicherheitslücken auf, die ebenfalls
den WPBT-Mechanismus nutzte. Zuvor hatte sich Lenovo schon Ärger
mit der vorinstallierten Adware Superfish Visual Discovery eingehandelt.
Laut Microsoft sei die WPBT-ACPI-Tabelle genau dafür gedacht,
wichtige Treiber und Zusatzprogramme ins System zu bringen, die
für den PC-Betrieb unter Windows unverzichtbar sind. Die im
Flash beigepackte Datei wird dazu vom BIOS in einen Bereich des
RAM geschrieben und die Adresse der Datei wird in der WPB-Tabelle
vermerkt. Die Datei wird von Windows aus dem RAM nach \Windows\system32
kopiert und dann ausgeführt.
Die WPB-Tabelle ist unter anderem für ausführbare Dateien
gedacht, die auch der im BIOS verankerte Notebook-Diebstahlschutz
Absolute (früher Computrace) verwendet. Diese LoJack-Technik
wurde aber bereits für den "BIOS-Spion" LoJax missbraucht.
Schon 2001 hatte Phoenix die Funktion PhoenixNet auf den Markt
gebracht, welche die Idee für im BIOS-Flash-Chip verankerte
Zusatzsoftware beinhaltete.
Seit einiger Zeit kann der Online-Dienst Virustotal auch BIOS-Update-Images
analysieren. Im
BIOS 0506 des Maximus XI Hero (Wi-Fi) findet Virustotal auch
unter anderem die Datei AsusUpdateCheck.exe. Außerdem enthalten
sind aber auch der Netzwerktreiber sowie eine Datei namens AsusDownloadLicense.exe.
(jf, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
