
2026/07/04 9:57
MSI Center:システム権限を数秒で取得する方法
RSS: https://news.ycombinator.com/rss
要約▶
日本語翻訳:
はい、不足している技術的詳細と文脈を追加推測を含まずに網羅するために、改良されたバージョンの使用が推奨されます。
改善された要約
MSI ロータープすべての MSI ノートパソコンおよび多くの組立済みデスクトップで使用されているプリインストールの MSI Center ソフトウェアに存在する深刻なセキュリティ不具合により、ローカルの管理者権限を持たない認証ユーザーでもフルシステム制御を獲得することが可能になっています。この脆弱性の原因は、「Notebook Foundation」サービスであり、起動時に命名パイプ(
MSI_SERVICE_2)を起動させます。このパイプを通じて、ログイン済みのどのユーザーもローカルシステムとして特権コマンドを実行でき、レジストリの変更、WMI の変更(例:Windows Defender の無効化)、内部 RPC(PC\REXE、PC\KEXE)を介した任意のプロセスの実行または終了が可能になります。MSI は独自のプロトコルに 3DES という非推奨暗号化アルゴリズムを使用した「セキュリティ・バイ・オブスクアリティ」に依存しており、サービスは登録済みのクライアント名のリストを反復処理することでペイロードを解読するまでブルートフォース攻撃を試みることもしばしばです。攻撃には有効なログイン認証情報が必要ですが、LAN 内での SMB を介したリモート実行の両方でローカルまたはリモートでの利用が可能です。研究者は管理者権限なしでリモートコード実行(RCE)と特権昇格を実証しており、既にある概念証明(PoC)では cmd.exe の起動や、典型的なマルウェアでは PowerShell コマンドまたはスクリプトの実行が行われています。MSI は当初の PSIRT メールボックスエラー(「554」)で他の研究者からの報告がブロックされた後にパッチ付きバージョン(2.0.70.0)をリリースしましたが、その後の問題解決には Gamers Nexus の研究者 Steve Burke の支援もありました。しかしながら、VulDB を介した公式の CVE(CVE-2026-XXXX)は現在も保留されており、約 4 週間の見積もりがあります。パッチ付きバージョンへの更新を行わず、ログインポリシーを強化しない場合、影響を受けるシステムはマルウェアの悪用、データ漏洩、そして完全なシステム改ざんのリスクに直面することになります。本文
MSI Center 脆弱性:严重な権限昇級リスクと企業の対応
AMD や ASUS の OEM ソフトウェアでの脆弱性発見を受け、MSI Centerにも同様の問題がないか調査を行いました。MSI Center はすべてのノートブックと組立式デスクトップで標準搭載されており、影響範囲が広い可能性があります。
調査プロセス:ダウンロードと抽出
オフライン環境での動作検証のため、以下の手順を踏みました。
-
オフラインインストーラーの推奨
- 多くの企業が非サポートハードウェア上の実行をブロックするためです。
- インストーラーを複製後、
でスキャンします。Detect-It-Easy - 今回はツールが Inno Setup であることが判明しました。
-
デコンパイルへのアプローチ
ツールを使用して、innoextract
(ZIP ファイル相当)を抽出。.appxbundle- 内部に含まれる約 170 つの実行可能ファイル(DLL など)をデコンパイル。
- C# のファイルは
と Bash スクリプトで処理。ilspycmd - C++ の興味深い上位 10 ファイルは IDA で解析し、
ファイルとしてエクスポート。.c - 結論: 全ファイルを人手確認する現実的ではないため、キーワード検索に焦点を絞りました。
脆弱性の特定:CreateNamedPipe
特に
CreateNamedPipe キーワードを検索(grep)した結果、重大な問題が発見されました。
- 被害メカニズム
- MSI の「Notebook Foundation」サービスが起動時に名前付きパイプを生成。
- 認証ユーザーであれば誰でも相互作用可能であり、このパイプを介して以下のコマンドをトリガーできます。
利用可能なコマンドと機能
| コマンド | 機能内容 |
|---|---|
| Handshake | 登録プロセスにより、任意のクライアント名で後続のコマンドを実行可能(引数として名が使われる)。 |
| Registry | ローカルシステムユーザー権限で、レジストリの読み込み・書き込み・削除が可能。 |
| WMI | システム監視や設定変更が可能(例:Windows Defender の無効化や除外リストの追加)。 |
| PC:REXE | 任意の実行可能ファイルをローカルシステムユーザー権限で起動可能。 |
| PC:KEXE | 動作中のプロセスを停止可能。 |
重要: これらの機能は**認証済みユーザー(管理者權限不要)**に対しても暴露されており、マルウェアによるシステムレベル特権取得やセキュリティソフト無効化のリスクがあります。
Proof of Concept (PoC) と攻撃フロー
MSI は過去に「秘密によるセキュリティ(Security by Obscurity)」を採用し、通信プロトコルを独自開発して 3DES 暗号化で保護していました。しかし、これでも攻められ得ました。
攻撃手順
という名前付きパイプに接続。MSI_SERVICE_2- ランダムな文字列(例:
)をクライアント名として登録。ABCD123 - PC:REXE コマンドを 3DES で暗号化し、登録したクライアント名を鍵として使用。
ブルートフォース攻撃の仕組み
- Notebook Foundation サービスは、登録されたすべてのクライアント名の組み合わせを試して復号化を図ります。
- 復号化が成功すると、ペイロードをローカルシステムユーザーとして実行。
- 想定される悪用: PoC では
起動のみですが、マルウェアでは PowerShell コマンドやスクリプト実行が可能です。cmd.exe
攻撃ベクトルの拡張
- リモートコード実行 (RCE) の発見: LAN 上の SMB プロトコル経由でも遠隔地からトリガー可能。
- 必要条件: 名前付きパイプは認証ユーザー限定のため、対象マシンの有効なログイン認証情報が必要。
報告経緯と企業の対応
PSIRT メールアドレスへの報告に対し、以下の反応がありました。
問題となった返答
メールサーバーから以下のようなエラーが返ってきました。
Remote Server returned '554 5.2.2 mailbox full; STOREDRV.Deliver.Exception: QuotaExceededException.MapiExceptionShutoffQuotaExceeded;'
- 意味: 脆弱性報告用のメールボックスが満タンで、新規受信を停止していた。
- 懸念: 他の人的な脆弱性報告も同時に拒否されていた可能性が高い。
解決と MSI の対応
- Gamers Nexus の Steve Burke 氏を通じて担当者へ繋がりました。
- 報告書は実際に受信されており、非常に好意的な対応を受けました。
- 報告から 2 日後にパッチの準備完了を確認。
- 組み込むバージョンとリリーススケジュールを共有。
CVE 発行に関する状況
- MSI は CVE 発行権限を持たず、MITRE や第三者 CNA 経由での申請が必要でした。
- VulDB への提出(CVE-2026-XXXX)は現在審査中。
- 多数の提出件数により審査期間は約 4 ヶ月とされるため、近い将来に結論が出ることを願っています。
タイムライン (DD/MM/YYYY)
: 脆弱性の発見09/05/2026
: 脆弱性報告の実施10/05/2026
: MSI 側より「パッチ完成」の連絡を受領12/05/2026
: MSI Center バージョン 2.0.70.0 リリース(パッチ搭載)01/06/2026
: VulDB 経由での CVE 申請提出03/06/2026
: 情報公開期間(Embargo)終了01/07/2026
寄付について
この記事が役立った場合、以下よりコーヒーの購入をお願いします:
※ Google、ASUS、AMD、TP-Link、Netgear、MSI に対する報告総額は $0(ブグバウンティ未実施)です。