Eine Privilege-Escalation im MSI Center verschafft jedem angemeldeten Windows-Nutzer in Sekunden volle System-Rechte. Betroffen ist die vorinstallierte Steuersoftware auf vielen MSI-Notebooks und -Mainboards, die in Firmen als Gaming- oder Business-Hardware landet. Für IT-Verantwortliche ist der Fall ein Lehrstück, warum Hersteller-Software auf Endgeräten ein eigenes Sicherheitsrisiko darstellt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEin Sicherheitsforscher brauchte nur einen normalen Benutzeraccount, um auf einem MSI-Gerät beliebige Programme mit den höchsten Windows-Rechten zu starten. Der Angriff nutzt keinen Trick am Betriebssystem, sondern einen Konstruktionsfehler in einem MSI-Dienst, der dauerhaft im Hintergrund läuft. Zwischen Meldung und Patch lagen bei MSI nur zwei Tage, das Zeitfenster für ungepatchte Firmengeräte bleibt trotzdem offen.
Das Wichtigste in Kürze
- Der MSI-Dienst „Notebook Foundation“ läuft als LocalSystem und nimmt Befehle über eine für alle Nutzer offene Named Pipe an.
- Die Befehle sind mit dem veralteten 3DES-Verfahren „verschlüsselt“, der Dienst probiert die Schlüssel selbst durch: eine Einladung zum Missbrauch.
- Ein Kommando namens REXE startet beliebige Programme als SYSTEM, KEXE beendet jeden Prozess.
- MSI hat mit Version 2.0.70.0 gepatcht, betroffene Betriebe müssen aktiv aktualisieren oder die Software entfernen.
Wie kippt ein Bloatware-Dienst zu SYSTEM-Rechten?

Der MSI-Dienst „Notebook Foundation“ läuft dauerhaft als LocalSystem und öffnet eine Named Pipe, mit der sich jeder angemeldete Nutzer verbinden darf. Weil die Zugangskontrolle allein auf schwacher Verschleierung beruht, kann ein normaler Account beliebige Programme mit Höchstrechten starten.
Der technische Kern liegt in der Pipe MSI_SERVICE_2. Deren Zugriffsliste erlaubt allen authentifizierten Nutzern Lesen und Schreiben. Die eigentliche Absicherung sollte darin bestehen, dass Befehle mit 3DES verschlüsselt ankommen, einem längst überholten Verfahren.
Der Denkfehler steckt in der Prüfung. Statt einen festen Schlüssel zu verlangen, probiert der Dienst alle registrierten Client-Namen durch, bis die Entschlüsselung passt. Der Forscher fasst es so: „Der Dienst versucht, die Entschlüsselung per Brute Force zu erraten, indem er alle registrierten Client-Namen durchgeht, bis einer funktioniert.“ Damit wird die Verschlüsselung zur bloßen Formsache.
Ein nachgebauter Client erhält damit Zugriff auf mächtige Kommandos. Das Kommando REXE startet ein beliebiges Programm mit beliebigen Argumenten als LocalSystem, KEXE beendet jeden Prozess, weitere Befehle greifen auf Registry und WMI zu. Ein CVE-Eintrag lag zum Zeitpunkt der Veröffentlichung noch nicht vor, der Forscher hatte eine Nummer bei einer CNA beantragt.
Warum ist Hersteller-Software ein wiederkehrender Angriffsvektor?
OEM-Zusatzsoftware bringt oft einen Hintergrunddienst mit SYSTEM-Rechten mit, der Befehle von normalen Nutzern annimmt. Genau dieses Muster taucht bei mehreren Herstellern auf und macht vorinstallierte Tools zu einem verlässlichen Vektor für lokale Rechteausweitung.
MSI Center ist kein Einzelfall. Sicherheitsforscher fanden dasselbe Grundmuster jüngst bei ASUS DriverHub, Acer Control Centre und Razer Synapse 4. Jedes dieser Tools betreibt einen privilegierten Dienst, der einer schwach gesicherten Schnittstelle vertraut. Auch MSI Center selbst trug schon 2024 eine dokumentierte Lücke, damals mit der Kennung CVE-2024-37726 in Version 2.0.36.0 und älter.
Für Entscheider verschiebt das die Perspektive. Nicht die exotische Zero-Day-Attacke ist das Hauptproblem, sondern vorinstallierte Komfort-Software, die niemand bewusst ausgerollt hat. Wie tief solche Grundfragen der Absicherung reichen, zeigen wir in unseren Cybersecurity-Grundlagen für KMU. Dass auch die Zuliefererseite zählt, wurde zuletzt beim Streit um den ML-KEM-Standardisierungsprozess deutlich.
Was sollten betroffene Betriebe jetzt konkret tun?
Zuerst gilt: MSI Center auf Version 2.0.70.0 aktualisieren oder ganz entfernen, falls die Software nicht gebraucht wird. Danach jedes Firmengerät nach vorinstallierten Hersteller-Tools durchsuchen und diese Endpoint-Hygiene fest im Prozess verankern.
Das BSI empfiehlt seit Langem, Systeme ausschließlich mit den für den Betrieb nötigen Funktionen einzurichten. Dazu gehört, überflüssige Dienste, Schnittstellen und Konten zu deaktivieren oder zu entfernen. Für MSI-Geräte bedeutet das praktisch: prüfen, ob der Betrieb MSI Center überhaupt braucht, sonst deinstallieren.
Für regulierte Betriebe kommt die rechtliche Ebene hinzu. Unter NIS2 verlangt Paragraf 30 BSIG technische und organisatorische Maßnahmen samt systematischem Schwachstellenmanagement, also Fund, Priorisierung und dokumentierte Behebung. Eine offene Named Pipe mit SYSTEM-Rechten fällt genau in diesen Pflichtenkreis. Wie ernst der Gesetzgeber Datenflüsse inzwischen nimmt, zeigt auch der Fall, dass Virginia den Verkauf von Standortdaten verbietet. Wer die Grundlagen sauber aufsetzen will, findet den Rahmen in unseren Cybersecurity-Grundlagen 2026.
Mehr Newshunger?
- Cybersecurity-Grundlagen 2026: Was KMU jetzt umsetzen müssen
- NSA schwächt ML-KEM-Standard? Was das für PQC bedeutet
- Virginia verbietet den Verkauf von Standortdaten
- Podman 6.0: Was ändert sich für Container-Workflows?
- Immich 3.0: Was bringt die neue Foto-Cloud?
- Browser-Vergleich 2026: 20 Webbrowser für Unternehmen