一位安全研究者在拆解MSI Center代码时发现,任何已登录的普通Windows账户,都能通过一个系统命名管道让电脑以LocalSystem权限执行任意程序。这是Windows里权限最高的账户,能读写几乎所有文件、改注册表、结束任意进程。

MSI收到报告后两天内确认补丁就绪,并于2026年6月1日随MSI Center 2.0.70.0版本正式修复。修复速度不算慢,但这已经是同一位研究者曝光的第三家游戏本厂商同类问题——此前AMD和ASUS的OEM软件都栽在类似的坑里。

命名管道怎么被普通账号摸到系统权限

MSI Center负责硬件管理的Notebook Foundation服务,开机时会创建一个命名管道MSI_SERVICE_2。它的权限设置允许任意已认证用户读写。

程序只要用任意字符串"注册"成客户端,就能给这个管道发指令。其中PC:REXE命令可以以LocalSystem身份运行任意可执行文件,KEXE能杀掉任意进程,注册表和WMI接口也一并开放。

MSI给通信加了一层自定义协议和3DES加密,验证方式是服务端把所有已注册的客户端名逐一试着当密钥解密。这更像换了一把生僻的锁,而不是先确认敲门的人是谁。任意已认证用户都能碰到高权限接口这个根问题,补丁本身没有解决。

提权链条:四步到SYSTEM 已认证的 普通账户 连接命名管道 MSI_SERVICE_2 3DES握手 猜中客户端名 LocalSystem 执行任意程序 PoC只演示了启动cmd.exe验证权限跳变,整个过程发生在几秒之内。

为什么重要:这不是MSI一家的毛病

游戏本和整机厂商为了驱动、灯效、超频这些功能,普遍会预装一套"控制中心"软件。这类软件天然需要系统级权限才能改硬件设置。

同一位研究者此前已经在AMD和ASUS的OEM软件里找到过严重漏洞。MSI是第三个撞上同类问题的厂商。高权限接口被随手暴露给低权限用户,更像是这类软件的通病,不是某家公司代码写得差。

利用条件需要澄清一下。攻击者得先登录本机账号,不是开机就能被外部人任意拿下。研究者验证过它也能通过局域网内的SMB远程触发,但前提是攻击者已经拿到目标机器的有效登录凭据——不是无条件的远程一键沦陷。

谁该现在就动手更新

对象现实处境该做的事
MSI笔记本/预装整机个人用户系统多为自动更新,风险主要来自共享账号或多人共用一台机器打开MSI Center确认版本号已升到2.0.70.0,不要沿用共享登录账号
网吧、工作室、企业IT运维机器数量大,更新节奏常落后于个人用户,批量部署容易漏掉某一批终端把2.0.70.0列为强制更新项,不等系统自动推送;审查终端账号策略,避免多人共用同一登录凭据

风险会被放大的场景很具体:共享账号、弱口令、多人共用一台机器。这类环境里,一个普通账号被拿下,攻击者能直接摸到SYSTEM权限,而不只是当前用户那点权限。

披露流程也是短板

时间事件
2026-05-09研究者发现漏洞
2026-05-10提交报告给MSI
提交后2天内MSI回复称补丁已就绪
2026-06-01MSI Center 2.0.70.0发布,修复完成

响应速度不算慢。但研究者一开始给MSI安全邮箱发报告时,收到的是"邮箱已满"的退信,最后靠联系Gamers Nexus的Steve Burke才确认报告其实送达了。

这更像是漏洞接收流程本身出了纰漏,不能直接推断成公司安全投入不够。MSI这次也没能自己发CVE编号,研究者只能转向VulDB申请,截至发稿申请还在排队审核。

【锐评】补丁修得快,病根却没除——OEM控制中心的高权限接口,才是真正该体检的地方。