ThinkCentre M90n Nano BIOS modden (Hilfe benötigt)

    Ich habe neulich ein ThinkCentre M90n Nano ohne SSD aus dem E-waste gerettet. Die schicke kleine Kiste wollte ich mir zum Streamen einrichten und natürlich auch macOS drauf ballern ;)


    Leider ist das Ding als SINA Workstation konfiguiert (Sichere Inter-Netzwork Architektur) und ziemlich locked down

    • Secure Boot befindet sich im "Deployed Mode" und lässt sich nicht übers BIOS deaktivieren
    • Es lässt sich auch nichts via USB stick ausführen oder installieren
    • Es gibt mehrere Sicherheitsbarrieren: SINA-key, Intel Boot Guard, BIOS Locks

    Ich dachte mir, okay dann halt anders! ;) Also habe ich das UEFI via CH341A Programmer mit ner Klammer von außen an den EEPROM von dem Ding angeschlossen und die Binary gedumpt (32 MiB). Danach habe ich versucht, die Bits, die für Secure Boot verantwortlich sind in nem Hex Editor zu nullen und das BIOS dann zurück zu flashen. Das hat auch funktioniert nur leider hat es nichts gebracht – Secure Boot ist immernoch aktiv. Zuvor hatte ich versucht einfach die ROM-Datei von der Lenovo-Seite zu flashen, aber die ist nur 16 MB, also überschreibt das dann nicht alles. Flashen der ROM Datei resultierte in nem flash brick, den ich aber rückgängig machen konnte.


    Dann habe ich recherchiert und erfahren, dass man die BIOS nicht einfach so mit nem Hex-Editor bearbeiten sollte, sondern speizielle Tools dafür verwenden sollte, um die verantworllichen GUIDs zu extrahieren, editieren und dann wieder zu mergen. Folgende GUIDs sollen wohl verantwortlich sein:

    • PK (GUID EfiGlobalVariableGuid).
    • KEK (GUID EfiGlobalVariableGuid).
    • db (GUID EfiImageSecurityDatabaseGuid).

    Das ist der aktuelle Stand. Ich würde gern den SINA kram da raus haben und Secure Boot deaktivieren, sodass ich auf das normale BIOS von Lenovo verwenden kann am Ende. Jetzt weiß ich nicht so recht, wie ich weitermachen soll. Vielleicht hat ja jemand von euch mehr Erfahrungen mit BIOS mods und kann mir ein Paar Tips geben.


    Danke

    Ich würde das Thema nicht in einem öffentlich zugänglichen Forum diskutieren.

    Display Spoiler

    ST3R30 wenn du so einen hast -> Link , glaube ich das wird nix…

    meine Rechner

    Hier sind noch einmal die Allgemeinen Geschäftsbedingungen.

    Hebe mich da vorhin noch bewusst zurückgehalten.

    Für jedes Gerät muss ein Nachweis über den Verbleib erbracht werden.

    Da landet nichts im Elektromüll.


    https://www.secunet.com/filead…024_AGB_SINA_Vertrieb.pdf

    Display Spoiler

    Quote from ST3R30

    PK (GUID EfiGlobalVariableGuid).
    KEK (GUID EfiGlobalVariableGuid).
    db (GUID EfiImageSecurityDatabaseGuid).

    Kannst du mit dem KeyTool bearbeiten, sofern Custom aktivierbar ist - aber das schaltet SecureBoot sicher nicht aus! Ggf. könntest du aber deine EFIs signieren und deine eigenen Keys / Zertifikate einbauen?


    https://www.reddit.com/r/hacki…ing_uefi_secure_boot_for/


    CDN media


    Das KeyTool ist eine kleine EFI, kann man booten - aber wenn Secureboot nicht auf Custom umgestellt werden kann, wirst du damit auch nicht die Keys überschreiben können (ist an meinem Fujitsu jedenfalls so). Vielleicht könntest du aber PK, KEK und db mit einem HEX Editor überschreiben und das dann direkt auf den Flash brennen?

    Wenn du ne baugleiche zweite Rechner mit offenem BIOS rankommst oder evtl. ne andere offene Dump findest ist das ja schon erledigt oder? ;)


    Gruss Coban

     MSI-Z590Pro Wifi | Intel® Core™ i9-10900k CometLake | 32GB DDR4 RAM | Radeon RX 570 Red Devil | Nvme WD Black SN750 1TB | BCM94360NG | OpenCore aktuell / Catalina bis Sequoia / Win 10 Pro / Win 11 Pro / Ubuntu / ChromeOS

     MSI-B150M Mortar | Intel® Core™ i7-6700 Skylake | 64GB DDR4 RAM | Intel® HD Graphics 530 | Samsung NVMe 960 EVO / 1x2 TB HDD | BCM943602BAED DW1830 | OpenCore aktuell / Catalina / BigSur / Monterey / Win 10 Pro / Ubuntu

     Lenovo S340-15IIL | Intel® Core™ i7-1065G7 IceLake | 12GB DDR4 RAM | Intel® Iris Plus Graphics G7 | Nvme Intel SSDPEKNW512G8L/SSD Samsung 256GB | BCM94360NG | OpenCore aktuell / Catalina bis Sequoia / Win 10 Pro / Win 11 Pro / Ubuntu / ChromeOS


    " Chasch nöd s Föifi und s Weggli ha."

    Schau Dir mal mein G-Flash an. Da ist auch ein Phoenix Tool (winewrapper) enthalten mit dem man Roms editieren kann.


    https://www.sl-soft.de/gflash/

    Intel Systeme
    Commodore
    Quote from cobanramo

    Wenn du ne baugleiche zweite Rechner mit offenem BIOS rankommst oder evtl. ne andere offene Dump findest ist das ja schon erledigt oder? ;)


    Gruss Coban

    Ja, das würde reichen. Leider sind die Dinger, die da da im Einsatz waren alles so SINA-Kisten.



    Sascha_77

    Ahh, ja, das habe ich schon mal benutzt. Bekomme allerding eine Fehlermeldung:


    hackintosh-forum.de/attachment/224221/


    Aber unter Downloads wurde aber das erzeugt:


    hackintosh-forum.de/attachment/224222/


    Es passiert aber nüscht, wenn ich PhoenixTool starten will.


    Verwende macOS Sonoma

    ST3R30

    Jo kann gut sein das der Winewrapper unter neueren OS nicht will. Muss gestehen das ich daran seit damals nix mehr verändert habe.

    Hast du vllt. ne VM mit Win oder so am start? Oder CrossOver? Kannst dir ja auch nur das Win-Programm da runterladen.

    Intel Systeme
    Commodore

    ST3R30, möchte hier nicht unnötige Schärfe in die Diskussion einbringen, aber ich finde es trotzdem sehr suspekt, dass hier soviel Unterstützung angeboten wird.
    Während andere Nutzer hier im Forum wie Schwerverbrecher behandelt, weil ihnen beim Verkauf eines normalen Mac, z.B. aus einem Nachlass, irgendein Passwort nicht mehr bekannt ist.


    Sina-Geräte werden, wegen der erhöhten Sicherheit, vor allem im Staatsdienst, z.B. beim Geheimdienst und beim Militär, benutzt. Sowas findet man nicht mal eben im Elektroschrott der Zentralen Abfallwirtschaft, uns besser bekannt als Wertstoffhof.


    Solche Geräte dürfen sogar verkauft werden. Dabei sind aber die Geschäftsbedingungen einzuhalten.
    Warum fragst Du nicht einfach den Vorbesitzer. So wie wir es auch den Nutzern beim Erwerb eines gebrauchten Macs raten. Der Vorbesitzer kann dir sicherlich helfen. Der hat sicherlich noch irgendwelche Unterlagen. Außerdem hätte der Vorbesitzer dir einen Kaufvertrag mit entsprechenden Unterlagen aushändigen müssen. Dabei spielt es keine Rolle, ob das Gerät noch funktioniert oder nicht. Eine Kopie dieses Kaufvertrags geht an Secunet.


    Stell doch einfach eine Anfrage bei Secunet. Die müssten doch am besten Bescheid wissen. Die haben auch ein Online-Portal.


    https://www.secunet.com/loesungen/sina-workstation-s

    Display Spoiler

    Edited once, last by bluebyte ().

    bluebyte Neben Staatsdienst gibt es auch öffentliche Dienste, die IT-Abteilungen haben und auch mal Geräte wegwerfen, weil sie bspw bestimmte Hardware-Anforderungen nicht mehr erfüllen (Stichwort TPM2 für Windows 11). Langsam wird es ein bisschen peinlich. Soll ich noch ein Bild von der Ewaste Tonne anhängen, in der die Dinger zigfach liegen? Was soll das jetzt?

    bluebyte unnötige Diskussion… hier sehe ich nichts illegales dabei - da ist man m.E. mit einem Hackintosh auch nicht tiefer im „Graubereich“ unterwegs. :ironie: Oder wirst du bei Problemen mit deinem Hacki gleich beim Apple-Support vorstellig? [floet]

    ST3R30 vermutlich ist hier auch „Secure Flash“ aktiv, da hilft dir auch ein BIOS-Modding nichts, da dies Hardwareseitig ist…

    meine Rechner

    Edited once, last by KMac: zusätzliche Anmerkung an TE ().

    ST3R30 ja, dass ist das Problem. Auslesen kann man dieses Bios, aber nach Änderung und Backflash stimmt die hardwareseitige Überprüfung der Kontroll-Keys/hashes nicht mehr… und diese ist mit „einfachen“ Möglichkeiten sicher nicht zu überwinden. EcSec ist eine Sicherheitsfirma, die solche Sachen anbietet.

    meine Rechner

    ST3R30 ich hab dir noch ne PM geschickt…

    meine Rechner
    Quote from ST3R30

    KMac Ah, okay. Also müsste man im Grunde den ganzen BIOS chip austauschen und selbst dann könnten noch woanders Barrieren eingebaut sein.

    Nein, der Chip selbst dürfte das idR nicht blockieren, das wäre eher am Board blockiert (EC vielleicht).


    Quote from ST3R30

    Danach habe ich versucht, die Bits, die für Secure Boot verantwortlich sind in nem Hex Editor zu nullen und das BIOS dann zurück zu flashen. Das hat auch funktioniert nur leider hat es nichts gebracht – Secure Boot ist immernoch aktiv.

    Normalerweise dürfte es dann aber mit einem BIOS, bei dem nur ein Byte modifiziert ist, gar nicht booten.

    Danach habe ich versucht, die Bits, die für Secure Boot verantwortlich sind in nem Hex Editor zu nullen und das BIOS dann zurück zu flashen. Das hat auch funktioniert nur leider hat es nichts gebracht – Secure Boot ist immernoch aktiv.


    Normalerweise dürfte es dann aber mit einem BIOS, bei dem nur ein Byte modifiziert ist, gar nicht booten.


    Wenn das Teil mit PK KEK und db genullt bootet, dann möglicherweise auch wenn mit eigenen Keys - die Frage ist ja nur, ob du die 3 im Hexdump auch korrekt austauschen kannst.


    Nullen kann nicht funktionieren, Secureboot ist ja an - EFIs signieren ist ein Versuch wert.


    https://github.com/profzei/Mat…your-own-secure-boot-keys