Un ricercatore di sicurezza ha individuato una vulnerabilità di elevata gravità all'interno di MSI Center, il software preinstallato su gran parte dei notebook e dei desktop assemblati dal produttore taiwanese. Il problema avrebbe consentito a qualsiasi utente autenticato del sistema di ottenere privilegi LocalSystem, il livello più elevato disponibile su Windows, aprendo la strada a possibili escalation di privilegi e all'esecuzione di codice arbitrario.

L'analisi è partita dall'installer offline dell'applicazione, estratto mediante strumenti dedicati dopo aver identificato il sistema di packaging utilizzato. Il ricercatore ha quindi decompilato circa 170 eseguibili e librerie presenti nel pacchetto, concentrandosi successivamente sui componenti più interessanti per individuare eventuali debolezze nella comunicazione tra processi.

Il problema risiedeva nel servizio Notebook Foundation

La vulnerabilità è stata individuata nel servizio Notebook Foundation, che all'avvio del sistema crea una named pipe, un meccanismo utilizzato da Windows per consentire la comunicazione tra processi differenti.

Secondo il ricercatore, tale interfaccia risultava accessibile a qualsiasi utente autenticato e metteva a disposizione una serie di comandi particolarmente sensibili. Tra questi figuravano operazioni di lettura, modifica ed eliminazione del registro di sistema con privilegi LocalSystem, l'interazione con Windows Management Instrumentation (WMI) per modificare impostazioni del sistema, incluse alcune relative a Windows Defender, oltre alla possibilità di avviare o terminare processi con privilegi elevati.