微星发布MSI Center更新，修复本地提权漏洞：可接管你的Win10/Win11系统

微星今日发布安全公告，呼吁用户尽快升级 MSI Center 应用程序到 2.0.38.0 版本，以修复本地权限升级漏洞 CVE-2024-37726。

MSI Center 是专为 MSI 电竞系列产品设计的应用程序，旨在为游戏玩家和其他用户提供优化的性能和效率。在 2.0.36.0 及之前版本中存在一个本地权限升级漏洞（CVE-2024-37726），这使得只有标准权限的用户能够完全控制系统。

据开发者描述，低权限用户首先创建一个目录，并使用 OpLocking 封锁该目录中的文件。然后，当用户使用 MSI Center 的“导出系统信息”功能时，对 OpLocked 文件进行写入操作。一旦 OpLock 功能被激活，用户可以移动原始文件，并创建一个指向目标文件的符号链接。MSI Center 通过junction链接（符号链接）以系统权限覆盖或删除目标文件。

请参阅下方截图以了解该漏洞的概念验证。