MSI Center漏洞:数秒内可获系统最高权限
速览
MSI Center软件被发现存在一个严重安全漏洞,攻击者利用该漏洞可在数秒内获取Windows系统的最高权限(SYSTEM)。该漏洞可能被用于恶意软件安装、数据窃取或系统控制。用户应及时更新MSI Center至最新版本以修复此问题。
AI 深度解读
背景
近期,一名安全研究员在分析 MSI Center(微星官方系统管理软件)时发现了一个严重漏洞,可让任何已认证用户(包括非管理员)在数秒内获取 Windows 系统的最高权限(SYSTEM)。该研究员此前曾发现 AMD 和 ASUS OEM 软件中的高危漏洞,此次将目标转向 MSI Center,因为该软件预装在微星所有笔记本和预装台式机上,漏洞影响范围极广。
核心内容
下载与提取
研究员首先下载 MSI Center 的离线安装包。许多 OEM 软件会阻止在非自家硬件上运行,或只允许安装部分功能。使用 Detect-It-Easy 分析安装包后,发现 MSI Center 采用 Inno Setup 打包。借助专用工具 innoextract,研究员解压了安装包及其内部的 .appxbundle(实际为 .zip 文件),随后开始反编译可执行文件。
反编译
MSI Center 包含 170 个可执行文件(含 DLL),大部分用 C# 编写。研究员编写 bash 脚本,利用 ilspycmd 批量反编译所有 C# 文件。对于其余用 C++ 编写的文件,他挑选了约 10 个最感兴趣的文件,使用 IDA 反编译并导出为 .c 文件。由于文件数量过多,无法逐一审查,他转而通过搜索常见弱点模式来寻找漏洞,其中之一是搜索 CreateNamedPipe(命名管道,用于进程间通信)。
漏洞详情
MSI 的 "Notebook Foundation" 服务在系统启动时会创建一个命名管道,任何已认证用户均可与之交互。其安全描述符设置为:
CreateNativePipeSecurity("D:(A;OICI;GRGW;;;AU)(A;OICI;GA;;;BA)");
这意味着 Authenticated Users(AU)拥有读写权限,Administrators(BA)拥有完全控制权。管道路径为 \\.\pipe\MSI_SERVICE_2。
该管道提供以下命令:
- Handshake:用于“注册”客户端应用,需提供任意客户端名称,该名称将作为后续命令的参数。
- Registry:允许以 LocalSystem 权限读取、写入、删除任意注册表项。
- WMI(Windows Management Instrumentation):可监控系统硬件、修改系统设置(如 Windows Defender 设置和排除项)。
- PC:包含两个子命令:
- REXE:以 LocalSystem 权限运行任意可执行文件及参数。
- KEXE:以 LocalSystem 权限终止系统上的任意进程。
这些功能极其危险,恶意软件可利用它们禁用 Windows Defender 或提升至系统级权限。
Proof of Concept(PoC)
历史上,MSI 主要依赖“安全通过模糊性”来防范漏洞:他们自定义了与管道通信的协议,并要求所有消息使用 3DES 加密(一种过时且不安全的密码)。PoC 步骤如下:
- 打开连接到
MSI_SERVICE_2命名管道。 - 使用随机字符串(如 "ABCD123")注册一个应用。
- 使用 3DES 加密
PC:REXE命令,以客户端名称作为密钥。 - Notebook Foundation 服务会尝试暴力破解解密——遍历所有已注册的客户端名称,直到解密成功。
- 解密成功后,以 LocalSystem 权限执行 payload。
PoC 仅演示了启动 cmd.exe 以提升权限,但实际恶意软件可执行任意 PowerShell 命令或脚本。研究员还发现,该漏洞可通过 LAN 上的 SMB 远程触发(需目标机器的有效登录凭据),实现远程代码执行(RCE)。
报告与修复
研究员通过 MSI 的 PSIRT 邮箱提交漏洞报告后,收到服务器错误:554 5.2.2 mailbox full; STOREDRV.Deliver.Exception: QuotaExceededException.MapiExceptionShutoffQuotaExceeded;——表明漏洞报告邮箱已满,拒绝接收新邮件。这意味着不仅他的报告被拒,其他报告也可能被丢弃。
研究员随后联系了 Gamers Nexus 的 Steve Burke,后者帮助联系到 MSI 员工。最终发现,尽管邮件服务器显示拒绝,报告实际上已送达 MSI。MSI 在收到报告后两天内(2026年5月12日)完成了补丁,并计划将其纳入 MSI Center 2.0.70.0 版本(2026年6月1日发布)。MSI 无法自行分配 CVE,建议研究员通过 MITRE 或第三方 CNA 申请。截至2026年7月1日,研究员通过 VulDB 提交的 CVE 申请仍在审核中(等待约4周)。
漏洞奖励
研究员表示,此前向 Google、ASUS、AMD、TP-Link、Netgear、MSI 等公司报告的漏洞,累计获得漏洞赏金为 0 美元。
时间线(DD/MM/YYYY)
- 09/05/2026 – 漏洞发现
- 10/05/2026 – 漏洞报告
- 12/05/2026 – MSI 回复并确认已创建补丁
- 01/06/2026 – MSI Center 2.0.70.0 发布
- 03/06/2026 – 通过 VulDB 申请 CVE-2026-XXXX
- 01/07/2026 – 披露禁令结束
关键要点
- 漏洞性质:MSI Center 的 Notebook Foundation 服务创建了一个权限过高的命名管道,任何已认证用户均可调用危险命令(运行任意程序、修改注册表、操作 WMI),实现权限提升至 SYSTEM。
- 攻击前提:攻击者需要已认证用户身份(无需管理员权限),本地可触发;若通过 SMB 远程利用,则需目标系统的有效登录凭据。
- 安全措施失效:MSI 试图用 3DES 加密和模糊注册机制来保护管道,但 3DES 加密存在可破解性,且客户端名称暴力破解攻击可行。
- 报告过程曲折:MSI 的 PSIRT 邮箱已满导致邮件被拒,但最终仍成功送达;补丁响应迅速(2天),但 MSI 无法自行发布 CVE。
- 影响范围:所有预装 MSI Center 的微星笔记本和台式机均受影响,估计用户量庞大。
- 漏洞奖励缺失:研究员未从任何厂商获得赏金,本次发现系无偿贡献。
意义与影响
- OEM 软件安全再次敲响警钟:继 AMD 和 ASUS 之后,MSI Center 也暴露出类似的高危漏洞,说明 PC 厂商预装管理软件的代码质量和安全审查普遍薄弱。这些软件常以高权限运行,一旦被攻破,可完全控制用户系统。
- 命名管道滥用是常见模式:许多厂商后端服务通过命名管道暴露过高权限接口,且缺乏足够认证和加密。此案例再次提醒开发人员必须严格限制命名管道的访问权限,并对所有命令进行强认证和审计。
- 安全响应流程需改进:MSI 的漏洞报告邮箱长期满溢,说明其安全响应基础设施存在明显缺陷,可能错过大量重要报告。尽管最终补丁迅速,但邮箱问题可能导致更多漏洞被忽视。
- CVE 分配机制依赖第三方:MSI 无法自行分配 CVE,导致研究员需通过第三方 CNA(如 VulDB)申请,审核周期长达数周,可能延缓补丁的披露和用户知情。
- 零赏金漏洞披露模式:该研究员并未获得任何漏洞奖励,此类高危漏洞的发现完全依赖个人热情和社区责任。若缺乏合理激励,长期可能影响安全研究生态。用户应关注厂商的补丁更新,并及时升级 MSI Center 至 2.0.70.0 或更高版本。
