O que é o MSI Center e qual e o problema
O MSI Center e o software utilitário da MSI para gerenciar placas-mae, coolers, iluminação RGB e componentes da empresa em computadores com Windows. Ele vem pre-instalado em muitos PCs gamer e workstations com hardware MSI, com dezenas de milhões de instalações ativas ao redor do mundo.
Em 2026, o pesquisador de segurança MrBruh publicou um relatório detalhando como e possível obter privilégios SYSTEM no Windows em segundos aproveitando uma falha no MSI Center. O SYSTEM e o nível mais alto de privilegio no Windows, acima inclusive do administrador convencional. Com ele, um atacante pode fazer absolutamente qualquer coisa no computador da vitima.
A vulnerabilidade e especialmente preocupante porque o MSI Center e instalado por padrão em muitos computadores e muitos usuários não sabem que ele esta rodando em background. Para devs e sysadmins que gerenciam frotas de máquinas ou trabalham em ambientes compartilhados, entender essa classe de vulnerabilidade e fundamental para proteger os sistemas sob sua responsabilidade.
Como a vulnerabilidade funciona
A falha envolve um serviço do Windows que o MSI Center instala e que roda com privilégios elevados por padrão. Serviços do Windows que rodam como SYSTEM são alvos clássicos de escalada de privilégios porque, se um processo menos privilegiado conseguir interagir com eles de forma não prevista, herda os privilégios do serviço.
No caso do MSI Center, o serviço expõe funcionalidades de gerenciamento de hardware que aceitam comandos de processos locais sem validação adequada de quem esta enviando o comando. Um processo rodando como usuário comum consegue enviar instruções para o serviço e executar código arbitrário no contexto SYSTEM.
Esse padrão de vulnerabilidade e chamado de Local Privilege Escalation (LPE). O atacante já tem acesso físico ou uma conta de usuário normal na máquina, e usa a falha para elevar seus privilégios ao nível máximo. E diferente de um ataque remoto, mas igualmente crítico em cenários corporativos ou de computadores compartilhados entre usuários.
Vulnerabilidades de LPE são frequentemente combinadas com outras falhas. Um atacante que consegue execução remota de código com privilégios baixos pode usar uma LPE para ganhar controle total do sistema imediatamente em seguida, tornando o ataque devastador.
Principais impactos da vulnerabilidade
Com acesso SYSTEM, um atacante pode fazer coisas que nenhum usuário comum ou mesmo administrador convencional consegue. Veja o que fica em risco no seu ambiente:
- Acesso irrestrito a arquivos: todos os arquivos do sistema ficam acessíveis para leitura e escrita, incluindo arquivos de senha, certificados e chaves privadas armazenadas localmente.
- Instalação de rootkits: com privilégios SYSTEM e possível instalar software que se esconde do antivírus e persiste mesmo após reinicializações do sistema operacional.
- Dump de senhas em memoria: ferramentas conseguem extrair hashes de senha e tokens de autenticação diretamente da memoria do processo LSASS, permitindo movimentação lateral na rede corporativa.
- Desativação de controles de segurança: Windows Defender, firewall e logs de auditoria podem ser desativados permanentemente com privilégios SYSTEM de forma muito simples.
- Acesso a segredos de aplicações: tokens de API, senhas armazenadas em cofres locais e credenciais de serviços ficam todos expostos ao atacante com acesso SYSTEM no sistema.
Para desenvolvedores que trabalham em máquinas com MSI Center instalado, o risco e real especialmente em ambientes onde outras pessoas tem acesso físico ou remoto, como escritórios compartilhados ou ambientes de CI com agentes físicos em rede corporativa com vários usuários.
Como verificar e mitigar o problema
O primeiro passo e verificar se você tem o MSI Center instalado e qual versão esta rodando. Abra o Painel de Controle ou Configurações e procure por MSI Center na lista de programas instalados no sistema operacional Windows.
Em ambientes corporativos, use Group Policy para bloquear a instalação de software de utilitários de hardware que não seja necessário para o trabalho. Software como MSI Center, Armory Crate e iCUE instalam serviços privilegiados que aumentam a superfície de ataque significativamente.
Get-WmiObject -Class Win32_Product | Where-Object { $_.Name -like '*MSI Center*' } | Select Name, Version
Get-Service | Where-Object { $_.DisplayName -like '*MSI*' }A MSI lançou uma atualização corrigindo a vulnerabilidade. A forma mais direta de se proteger e atualizar o MSI Center para a versão mais recente disponível na MSI App Player ou no site oficial da MSI para o seu modelo de placa-mae ou notebook.
Se você não usa as funcionalidades do MSI Center, a alternativa mais segura e desinstalar completamente o software. Para controle de iluminação RGB, o OpenRGB e uma alternativa open source que não instala serviços privilegiados com superfice de ataque tao grande quanto o MSI Center instalado.
Exemplo prático: auditando serviços privilegiados no Windows
Saber auditar serviços com privilégios elevados e uma habilidade fundamental de segurança para devs e sysadmins. Veja como fazer isso no Windows usando PowerShell, disponível em todas as instalações do sistema operacional desde o Windows 7.
Get-WmiObject Win32_Service | Where-Object { $_.StartName -eq 'LocalSystem' -and $_.State -eq 'Running' } | Select Name, DisplayName, PathName | Format-Table -WrapSe o executável de um serviço SYSTEM for gravavel por usuários comuns, isso é uma vulnerabilidade crítica por si só. Basta substituir o executável por código malicioso e aguardar o serviço reiniciar para ganhar privilégios SYSTEM. Essa checagem simples pode revelar problemas em outros softwares instalados também, além do MSI Center especificamente.
Get-WmiObject Win32_Service | Where-Object { $_.Name -like '*MSI*' } | Select Name, StartName, State, PathNameComparação com vulnerabilidades similares
A classe de vulnerabilidade do MSI Center não e nova nem única. Software de utilitários de hardware e notoriamente propenso a falhas de privilegio porque precisa interagir com drivers e o kernel, o que exige privilégios elevados por design da arquitetura do Windows moderno.
A ASUS Armory Crate teve múltiplas vulnerabilidades similares ao longo dos anos, incluindo uma em 2023 que permitia execução de código com privilégios elevados via driver do sistema. A Razer Synapse também teve falhas de LPE documentadas, onde o instalador permitia elevar privilégios durante a instalação de periféricos USB no sistema.
O padrão e sempre o mesmo: software de utilitário instala serviço ou driver privilegiado, esse componente e implementado sem princípios de least-privilege, e um atacante local consegue abusar da superfície exposta. Para devs que constroem software que roda como serviço no Windows, isso serve de licao sobre como projetar serviços com segurança desde o inicio do desenvolvimento do projeto.
Pontos positivos e limitações da mitigação
O que a atualização resolve: a MSI corrigiu a falha específica reportada pelo pesquisador. Atualizar o MSI Center remove o vetor de ataque documentado e e a ação mais importante a tomar imediatamente após verificar se o software esta instalado no seu sistema.
O que não muda: software de utilitário de hardware vai continuar sendo uma categoria de alto risco de segurança. A superfície de ataque inerente de um serviço que precisa interagir com hardware de baixo nível e muito maior do que a de um aplicativo comum, e isso não muda com um patch.
A mitigação mais robusta e remover software que você não usa ativamente. Se você não precisa controlar RGB ou monitorar temperatura via MSI Center, desinstalar e muito mais seguro do que manter o software atualizado esperando o próximo patch descoberto por algum pesquisador de segurança.
Atualizar o MSI Center resolve a vulnerabilidade específica reportada, mas não elimina o risco categórico de ter um serviço privilegiado rodando em background no sistema. Avalie se o software e realmente necessário antes de decidir mante-lo instalado.
Casos de uso reais para essa auditoria de segurança
Entender esse tipo de vulnerabilidade e útil em vários contextos do cotidiano de devs e sysadmins brasileiros que trabalham com segurança ou gerenciamento de sistemas Windows:
- Sysadmin com máquinas MSI: o primeiro passo e auditar quais máquinas tem o MSI Center instalado e em que versão, depois criar um processo de atualização centralizado via Intune, SCCM ou Chocolatey para toda a frota corporativa.
- Desenvolvedor de software de segurança: a análise do mrbruh no MSI Center e um exemplo excelente de metodologia de pesquisa de LPE no Windows e uma leitura recomendada para quem trabalha com segurança ofensiva ou defensiva.
- Dev que configura pipelines de CI com agentes físicos: agentes de CI rodando em hardware físico com software de utilitário instalado são um vetor de ataque menos óbvio mas real em ambientes corporativos com múltiplos usuários na rede corporativa.
- Pentesters e red teamers: software de utilitário de hardware e um vetor clássico de LPE que frequentemente não e coberto por scanners automatizados de vulnerabilidade em auditorias de segurança tradicionais realizadas com ferramentas comerciais.
Dicas e boas práticas de segurança
Crie um inventario de todo o software instalado em máquinas de desenvolvimento da sua equipe, especialmente software de utilitário de hardware. Softwares de RGB, cooling, áudio e periféricos são frequentemente negligenciados em auditorias de segurança e representam uma superfície de ataque real e subestimada por muitas equipes.
Use o principio de least-privilege ao projetar serviços Windows: rode com a conta de serviço menos privilegiada possível, como Network Service ou conta de serviço customizada com permissões mínimas. Nunca use LocalSystem a menos que seja absolutamente necessário para o funcionamento do componente específico.
O Windows Event Log registra criação e alteração de serviços nos eventos 7045 e 7040. Monitorar esses eventos via SIEM ajuda a detectar rapidamente quando novos serviços privilegiados são instalados no ambiente corporativo sem autorização previa dos administradores de segurança.
Vale a pena se preocupar com isso?
Sim, se você tem hardware MSI e usa o MSI Center. A atualização e simples, rápida e gratuita. Não ha razão para deixar uma vulnerabilidade conhecida e documentada sem correção na sua máquina de desenvolvimento ou na frota da sua empresa durante um longo período.
Em um nível mais amplo, esse incidente ilustra um ponto importante para devs: o vetor de ataque não e sempre o seu código. Software de terceiros instalado no mesmo sistema pode comprometer toda a segurança que você implementou no seu próprio projeto. Segurança e um problema de ecossistema, não apenas de código bem escrito e revisado.
O próximo passo prático e verificar a versão do MSI Center instalada, atualizar se necessário, e considerar remover o software se você não usa ativamente as funcionalidades de gerenciamento de hardware que ele oferece. Simples assim.