울지않는벌새 : Security, Movie & Society

BIOS 기반의 Lenovo Service Engine(LSE) 취약점으로 인한 보안 이슈 (2015.8.17)

벌새::Security

중국(China) 레노버(Lenovo) 데스크탑/노트북의 메인보드 상에 탑재된 BIOS 기반의 Lenovo Service Engine(LSE) 기능에서 하드웨어 정보 전송 및 프로그램 자동 설치가 가능한 부트킷(Bootkit) 방식의 보안 문제가 발견되었다는 소식입니다.

이에 따라 레노버(Lenovo) 업체에서는 공식적인 해명과 함께 펌웨어(Firmware) 업데이트를 통해 Lenovo Service Engine(LSE) 기능 제거를 지원하고 있습니다.

 

2014년 10월부터 2015년 4월까지 제작된 레노버(Lenovo) 제품의 BIOS 영역에 탑재된 Lenovo Service Engine(LSE) 기능은 마이크로소프트(Microsoft) 보안 가이드의 Windows Platform Binary Table(WPBT) 정책과는 맞지 않는 기능임을 인정하였으며, 이를 통해 포맷된 환경 및 Windows 운영 체제가 실행되기 전에 레노버(Lenovo) 업체에서 제공하는 사전 탑재 소프트웨어를 자동 설치가 가능하도록 할 수 있습니다.

 

참고로 도난 방지(Anti-Theft) 프로그램 설치가 주 목적인 Windows Platform Binary Table(WPBT) 기능은 분실된 하드웨어 기기를 포맷하여도 도난 방지 프로그램이 자동 설치될 수 있도록 할 수 있는데, 레노버(Lenovo) 업체의 경우에는 그 범위를 넘어 자사에서 제공하는 다양한 사전 탑재 프로그램을 삭제하여도 지속적으로 설치할 목적으로 이용하였습니다.

 

레노버(Lenovo) 데스크탑(Desktop) 환경에서 Lenovo Service Engine(LSE) 기능은 개인 식별 정보를 제외한 제품 고유의 시스템 모델명, 날짜, 지역, 시스템 UUID 정보를 제품이 최초 인터넷과 연결되는 시점에서 단 1회 Windows 운영 체제 시작 전에 레노버(Lenovo) 서버로 전송할 수 있습니다.

 

하지만 데스크탑(Desktop) 환경과는 달리 노트북(Notebook) 환경에서의 Lenovo Service Engine(LSE) 기능은 문제의 소지가 있다는 점이 부각되고 있습니다.

 

레노버(Lenovo) 노트북(Notebook) 환경에서는 Lenovo Service Engine(LSE) 기능을 통해 설치된 OneKey Optimizer(OKO) 번들 프로그램은 펌웨어(Firmware), 드라이버, 사전 설치 프로그램에 대한 업데이트 기능과 불필요한 파일 및 시스템에 영향을 주는 요소를 검사하여 최적화하는 기능을 제공합니다.

 

하지만 OneKey Optimizer(OKO) 프로그램은 Buffer Overflow 공격 및 보안상 안전하지 않은 네트워크 연결과 같은 CVE-2015-5684 보안 취약점 문제가 레노버(Lenovo)와 마이크로소프트(Microsoft) 업체에 전달되면서 2015년 6월경부터 Lenovo Service Engine(LSE) 기능을 중지하였으며 펌웨어(Firmware) 업데이트를 통해 제거할 수 있도록 지원하기 시작하였습니다.

 

이에 따라 레노버(Lenovo) 업체에서 제공하는 새로운 BIOS 업데이트를 통해 사전 설치된 Lenovo Service Engine(LSE) 기능을 제거할 수 있습니다.

 

Lenovo Service Engine(LSE) BIOS for Desktop : LEN-2015-077

 

해당 펌웨어(Firmware) 업데이트는 레노버(Lenovo) 데스크탑(Desktop) 환경의 Windows 8, Windows 8.1 운영 체제에 포함된 Lenovo Service Engine(LSE) 구성 파일을 제거할 수 있습니다.

  • Lenovo A540/A740
  • Lenovo B40-30, B50-30, B50-35, B750
  • Lenovo C20-05, C40-05, C20-30/C40-30, C260, C50-30
  • Lenovo H30-00, H30-50, H50-00, H50-50, H50-55
  • Lenovo Erazer X310(A78), X315(B85)
  • Horizon 2e(Yoga Home 500), Horizon 2S, Horizon 2 27

(a) 시스템 부팅시 F1 기능키를 클릭하여 BIOS 환경으로 접속한 후 Security 탭을 선택하여 "Lenovo Service Engine" 항목 옵션을 "Disabled"로 변경하여 저장(Save and Exit)하시기 바랍니다.

 

(b) 정상적으로 Windows 부팅을 통해 접속한 후 Lenovo LSE Windows Disabler Tool 파일(remove_lsedt.zip)을 다운로드하여 압축 해제하시기 바랍니다.

 

압축 해제된 RemoveLSEDT.bat 파일을 "관리자 권한으로 실행"할 경우 다음과 같은 파일이 자동 제거됩니다.

  • C:\Windows\System32\LSEDT.exe
  • C:\Windows\System32\LSEPreDownloader.exe

Lenovo Service Engine(LSE) BIOS for Notebook : LEN-2015-020

 

해당 펌웨어(Firmware) 업데이트는 레노버(Lenovo) 노트북(Notebook) 환경의 Windows 7, Windows 8, Windows 8.1, Windows 10 운영 체제에 포함된 Lenovo Service Engine(LSE) 기능 중지 및 관련 구성 파일 제거를 통해 CVE-2015-5684 보안 취약점 문제를 해결합니다.

  • Lenovo Flex 2 Pro-15/Edge 15 (Broadwell)
  • Lenovo Flex 2 Pro-15/Edge 15 (Haswell)
  • Lenovo Flex 3-1120
  • Lenovo Flex 3-1470/1570
  • Lenovo G40-80/G50-80/G50-80 Touch/V3000
  • Lenovo S21e
  • Lenovo S41-70/U40-70
  • Lenovo S435/M40-35
  • Lenovo Yoga 3 11
  • Lenovo Yoga 3 14
  • Lenovo Y40-80
  • Lenovo Z41-70/Z51-70
  • Lenovo Z70-80/G70-80

1. Windows 8, Windows 8.1, Windows 10 운영 체제 중 UEFI 모드인 경우

 

(a) Lenovo LSE Windows Disabler Tool 파일을 다운로드을 다운로드하시기 바랍니다.

  • 32 비트용 파일(Lenovo LSE Windows Disabler Tool for 32 bit) : lenovo-lse-disabler32.exe
  • 64 비트용 파일(Lenovo LSE Windows Disabler Tool for 64-bit) : lenovo-lse-disabler64.exe

(b) 다운로드된 파일을 "관리자 권한으로 실행"하시면 Command Line 창이 약 30초 가량 생성된 후 자동 종료되며 이 과정에서 Lenovo Service Engine(LSE) 서비스 종료 및 Lenovo Service Engine(LSE) 관련 파일이 삭제 처리됩니다.

  • C:\Windows\System32\wpbbin.exe
  • C:\Windows\System32\LenovoUpdate.exe
  • C:\Windows\System32\LenovoCheck.exe

이후 Windows 자동 체크 파일 수정 및 Lenovo Service Engine(LSE) 활성화 관련 UEFI 변수가 사용 중지되며, 사용자는 반드시 Windows 재부팅을 통해 최종적으로 처리를 완료하시기 바랍니다.

 

2. Windows 7, Windows 8, Windows 8.1, Windows 10 운영 체제 중 Legacy 모드 또는 UEFI 모드인지 Legacy 모드인지 알 수 없는 경우

 

자신의 부팅 방식인 Legacy 모드인지 UEFI 모드인지 알 수 없는 경우에는 각 모델별로 제공되는 BIOS 업데이트 파일을 다운로드하여 실행하시기 바랍니다.

그러므로 레노버(Lenovo) 데스크탑(Desktop) 및 노트북(Notebook) 중에서 해당 모델 제품 사용자는 반드시 BIOS 업데이트 정보를 확인하여 최신 버전으로 펌웨어(Firmware) 업데이트를 해주시기 바랍니다.