Уязвимость в MSI Center: как получить привилегии SYSTEM за секунды

Исследователь безопасности MrBruh обнаружил критическую уязвимость в MSI Center, предустановленном программном обеспечении на ноутбуках и предсобранных настольных компьютерах MSI. Служба Notebook Foundation создает именованный канал (named pipe) MSI_SERVICE_2 при загрузке, к которому может подключиться любой авторизованный пользователь. Этот канал предоставляет опасные команды: возможность чтения, записи и удаления любых ключей реестра от имени LocalSystem (максимальные привилегии), управление WMI (мониторинг оборудования и изменение параметров системы, включая Windows Defender), запуск произвольных исполняемых файлов от имени LocalSystem (REXE) и их завершение (KEXE). Для защиты используется 3DES-шифрование с устаревшим алгоритмом. Исследователь создал proof-of-concept, демонстрирующий возможность запуска cmd.exe. После публикации результатов установлено, что уязвимость может быть также использована для удалённого выполнения кода через SMB в локальной сети при наличии учётных данных. MSI ответила на отчёт об уязвимости полным почтовым ящиком, но в итоге получила отчёт через контакты исследователя. Компания подготовила патч за два дня и выпустила MSI Center 2.0.70.0. Исследователь не получил bug bounty от MSI и других компаний, несмотря на найденные уязвимости.

Ключевые факты

  • Служба Notebook Foundation в MSI Center создает открытый именованный канал, доступный любому авторизованному пользователю, включая тех без прав администратора
  • Через этот канал возможно выполнение произвольного кода от имени LocalSystem, отключение Windows Defender и модификация параметров системы
  • Для защиты используется 3DES-шифрование, устаревший и уже недостаточно безопасный криптографический алгоритм
  • Уязвимость может быть использована для удалённого выполнения кода через SMB на локальной сети при наличии валидных учётных данных
  • MSI выпустила патч в MSI Center 2.0.70.0 в течение двух дней с момента сообщения об уязвимости

Почему это важно

MSI Center предустановлен на миллионах ноутбуков и настольных компьютеров MSI по всему миру. Уязвимость позволяет любому авторизованному локальному пользователю (включая гостевые учётные записи) получить полный контроль над системой, запускать код от имени SYSTEM, отключать антивирус и модифицировать критические параметры. Это означает, что вредоносное ПО, сумевшее получить обычные пользовательские привилегии, может без препятствий эскалировать их до системных. Кроме того, уязвимость работает через SMB на локальной сети, позволяя удалённое выполнение кода при условии наличия хотя бы одного валидного учётного имени и пароля в сети.

Кому это важно

В первую очередь пользователям ноутбуков и настольных компьютеров MSI, им необходимо срочно обновиться до версии 2.0.70.0 и выше. Важно и корпоративным средам, где MSI-оборудование может быть использовано сотрудниками, так как уязвимость создаёт риск привилегированного доступа злоумышленников через скомпрометированные учётные записи. Производители электроники должны пересмотреть практики разработки системного ПО и отказаться от обращения к внутриканальной коммуникации с недостаточной защитой.

Как это применить

Пользователям MSI следует немедленно обновить MSI Center до версии 2.0.70.0 или более новой через стандартное приложение обновления или загрузив инсталлятор с сайта MSI. В корпоративной среде рекомендуется отключить или заблокировать запуск MSI Center вообще, либо развернуть через системы управления (Group Policy, Intune) запрет на автозагрузку служб MSI и их взаимодействие. Для критичных систем стоит рассмотреть полное удаление MSI Center.

Можно ли доверять

Отчёт основан на прямой технической работе исследователя: он извлёк инсталлятор MSI Center, провел декомпиляцию около 170 исполняемых файлов, нашел уязвимость через поиск кода по CreateNamedPipe и создал работающий proof-of-concept. Компания MSI подтвердила уязвимость и выпустила патч в течение двух дней. Исследователь опубликовал подробный анализ с доказательствами. CVE был запрошен через VulDB и находится в процессе рассмотрения. Информация полностью проверяема и технически обоснована.

Риски и подводные камни

Главный риск, что пользователи не обновятся вовремя. Служба Notebook Foundation работает на уровне ядра при загрузке и сложна для отключения без знания Windows. Вторая проблема, MSI испытывала трудности с приёмом уязвимостей (переполненный почтовый ящик), что могло привести к потере отчётов от других исследователей. Глубокий риск, что уязвимость уже использовалась в дикой природе до публикации. Для корпораций, необходимо проверить исторические логи SMB-доступа для выявления возможных попыток эксплуатации в локальной сети.

«Они могут быть использованы вредоносным ПО для отключения Windows Defender или получения системных привилегий.»

— MrBruh, исследователь безопасности