zurück zum Artikel

Asus verankert Update-Tool im Mainboard-BIOS

Wissen | Hintergrund

Das UEFI-BIOS einiger aktueller Asus-Mainboards enthält ein Update-Werkzeug, das auf einer frischen Windows-Installation automatisch starten kann.

Beim Test der ersten Intel-Z390-Mainboards im c't-Labor konnten wir auch die neue Asus-Software "Armoury Crate" ausprobieren: Wer ein neues Asus-Board wie das Maximus XI Hero (Wi-Fi) in Betrieb nimmt und Windows installiert, wird schon ohne Internetverbindung von der Update-Software "Asus Armoury Crate" überrascht. In der Standardeinstellung des BIOS-Setup ist nämlich eine Funktion aktiv, die dem Betriebssystem diese Software quasi unterschiebt. Dafür nutzt Asus die von Microsoft für solche Zwecke vorgesehene Windows Platform Binary Table (WPBT), eine ACPI-Tabelle im (UEFI-)BIOS. Windows liest diese Tabelle aus und kopiert dann Dateien, auf die die Tabelle verweist, und führt sie aus.

Diese Dateien stecken mit im UEFI-BIOS-Image und sind dadurch schon bei einer frischen Installation des Betriebssystems vorhanden – oder auch nach einer Neuinstallation oder nach dem Austausch der Festplatte. Damit geht ein gewisses Sicherheitsrisiko einher, falls diese Dateien mit Malware infiziert wären oder zum Nachladen von Schadcode verwendet würden. Die Funktion "Download & install Armoury Crate app" lässt sich aber im BIOS-Setup des Maximus XI Hero (Wi-Fi) abschalten. Allerdings ist sie im Auslieferungszustand und nach dem Laden der BIOS-Setup-Default-Werte aktiv.

Nach der Windows-Installation startet ein Setup-Programm und fragt den Nutzer "Download Armoury Crate & LAN Driver"? Wird das bejaht, installiert das Tool zunächst einen ebenfalls im BIOS-Image integrierten Treiber für den Onboard-Netzwerkchip Intel I219-V. Für den bringt Windows 10 bisher keinen Netzwerktreiber mit. Das ist ein typisches Problem bei der Inbetriebnahme sehr neuer Mainboards und wirft Probleme auf, wenn man kein optisches Laufwerk zur Hand hat: Denn Mainboard-Hersteller legen Treiber auch 2018 noch fast ausschließlich auf optischen Speichermedien bei, statt etwa einen USB-Stick beizupacken.

Nach der Installation des Netzwerktreibers holt die aus dem BIOS-Flash-Chip "herbeigezauberte" Software AsusUpdateCheck.exe das eigentliche Tool Asus Armoury Crate per Download von Asus-Servern. Armoury Crate wiederum beschafft dann auf Wunsch weitere aktuelle Treiber, ohne dass man sie einzeln auf der Asus-Webseite zusammensuchen muss – praktisch!

Google Play
Asus Armoury Crate ersetzt auch die Software ROG Gaming Center und verbindet sich auf Wunsch via Cloud mit der gleichnamigen Android-App. (Bild: Google Play)

Allerdings enthalten Module von Asus Armoury Crate auch Funktionen, die sich über Cloud-Server etwa mit der Android-App Armoury Crate [1] auf einem Smartphone verbinden können, etwa um Funktionen des Mainboards zu überwachen oder die Lüfterregelung zu steuern.

Sicherheitsbewusste PC-Käufer werden solche Funktionen lieber deaktivieren. Denn 2016 hatte die Firma Duo Labs Security Update-Tools mehrerer Hardware-Hersteller unter die Lupe genommen [2] und fand darin mehrere Sicherheitslücken, unter anderem in einer Asus-Software. In Lenovo-Notebooks fiel vor drei Jahren die Lenovo Service Engine (LSE) mit Sicherheitslücken auf [3], die ebenfalls den WPBT-Mechanismus nutzte. Zuvor hatte sich Lenovo schon Ärger mit der vorinstallierten Adware Superfish Visual Discovery [4] eingehandelt.

Die WPBT-ACPI-Tabelle ist genau dafür gedacht, wichtige Treiber und Zusatzprogramme ins System zu bringen, die für den PC-Betrieb unter Windows unverzichtbar sind, wie Microsoft zu WPBT erklärt (docx-Datei) [5]. Das BIOS schreibt die im Flash beigepackte Datei dazu in einen Bereich des RAM und vermerkt die Adresse in der WPB-Tabelle. Aus dem RAM kopiert Windows die Datei dann nach \Windows\system32 und führt sie aus. Selbstverständlich muss die Datei digital signiert sein.

Asus Armoury Crate richtet unter Windows den Dienst AsusUpdateCheck ein.
Asus Armoury Crate richtet unter Windows den Dienst AsusUpdateCheck ein.

Unter anderem ist die WPB-Tabelle für ausführbare Dateien gedacht, die auch der im BIOS verankerte Notebook-Diebstahlschutz Absolute (früher Computrace) verwendet. Diese LoJack-Technik wurde aber bereits für den "BIOS-Spion" LoJax missbraucht [6].

Die Idee für im BIOS-Flash-Chip verankerte Zusatzsoftware ist freilich viel älter: Schon 2001 hatte Phoenix die Funktion PhoenixNet auf den Markt gebracht.

Der Online-Dienst Virustotal kann seit einiger Zeit auch BIOS-Update-Images analysieren. Virustotal findet im BIOS 0506 des Maximus XI Hero (Wi-Fi) [7] auch unter anderem die Datei AsusUpdateCheck.exe. Außerdem enthalten sind aber auch der Netzwerktreiber sowie eine Datei namens AsusDownloadLicense.exe.

Asus Armoury Crate ist auch bereits in einigen Asus-Notebooks für Gamer (ROG, Republic of Gamers) eingebaut. (ciw [8])


URL dieses Artikels:
http://www.heise.de/-4202621

Links in diesem Artikel:
[1] https://play.google.com/store/apps/details?id=com.asus.rog.roggamingcenter3&hl=en_US
[2] https://www.heise.de/meldung/Crapware-Viele-Updater-von-PC-Herstellern-haben-eklatante-Sicherheitsluecken-3226857.html
[3] https://news.lenovo.com/article_display.cfm?article_id=2013
[4] https://www.heise.de/meldung/Gefahr-fuer-Lenovo-Laptops-durch-vorinstallierte-Adware-2554455.html
[5] https://download.microsoft.com/download/8/A/2/8A2FB72D-9B96-4E2D-A559-4A27CF905A80/windows-platform-binary-table.docx
[6] https://www.heise.de/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html
[7] https://www.virustotal.com/#/file/34f5cb63c3984c439bc88431a360275e0c29943447d3823f340c7d4e0dffa466/details
[8] mailto:ciw@ct.de