Se ha descubierto una vulnerabilidad de seguridad crítica en Citrix Windows Virtual Delivery Agent que permite a los atacantes locales aumentar los privilegios y obtener acceso a nivel de sistema a los sistemas afectados.
La vulnerabilidad, rastreada como CVE-2025-6759, afecta múltiples versiones de aplicaciones virtuales de Citrix y computadoras de escritorio y plataformas Citrix DAAS, que plantea riesgos significativos para los entornos empresariales que dependen de estas soluciones de virtualización.
Control de llave
1. CVE-2025-6759 permite a los usuarios locales aumentar a los privilegios del sistema en Citrix Windows Virtual Delivery Agent con un puntaje CVSS de alta severidad de 7.3.
2. Las versiones afectadas incluyen compilaciones de liberación actual antes de 2503 y 2402 LTSR Cu2/anterior, mientras que 2203 LTSR no se ve afectada.
3. Correcciones disponibles en la versión 2503+ para la versión actual y actualizaciones específicas de Hotfix para 2402 LTSR CU1/CU2.
4. La solución temporal implica deshabilitar CTXExceptionHandler a través de la edición de registro si el parche inmediato no es posible.
Flaw de escalada de privilegios locales (CVE-2025-6759)
La vulnerabilidad CVE-2025-6759 representa una falla de escalada de privilegios locales que permite a los usuarios de baja privilegio obtener privilegios del sistema en los sistemas afectados.
Esta vulnerabilidad se clasifica bajo CWE-269 (gestión de privilegios inadecuados) y lleva una puntuación base CVSS v4.0 de 7.3, que indica alta gravedad con la cadena vectorial CVSS: 4.0/AV: L/AC: H/AT: N/PR: L/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N: N.
El vector de ataque requiere acceso local al sistema objetivo, lo que significa que los atacantes ya deben tener algún tipo de acceso a la máquina antes de explotar esta vulnerabilidad.
Sin embargo, una vez explotada, la vulnerabilidad proporciona un compromiso completo del sistema, otorgando a los atacantes el más alto nivel de privilegios posibles en los sistemas de Windows.
Este nivel de acceso permite a los atacantes instalar software, acceder a datos confidenciales, crear nuevas cuentas con derechos de usuario completos y potencialmente moverse lateralmente dentro de la red.
La causa raíz técnica de la vulnerabilidad se encuentra en la gestión de privilegios inadecuados dentro del componente del agente de entrega virtual, que no valida y restringe los intentos de escalada de privilegios de usuarios privilegiados correctamente.
La vulnerabilidad impacta específicamente en el agente de entrega virtual de Windows para un sistema operativo de una sola sesión utilizada por aplicaciones y escritorios de Citrix Virtual y DAA Citrix.
Las versiones afectadas incluyen versiones de lanzamiento actual (CR) de aplicaciones y escritorios virtuales de Citrix antes de 2503, y versiones de lanzamiento de servicio a largo plazo (LTSR), incluidas aplicaciones virtuales de Citrix y escritorios 2402 LTSR CU2 y versiones anteriores de 2402 LTSR.
En particular, Citrix Virtual Apps and Desktops 2203 LTSR no se ve afectada por esta vulnerabilidad, proporcionando cierto alivio para las organizaciones que utilizan esta versión específica.
Factores de riesgo Productos afectados por Details- Versiones de entrega virtual de Windows para una sola sesión: Citrix Virtual Apps and Desktops (CR) Versiones antes de 2503- Citrix Virtual Apps and Desktops 2402 LTSR Cu2 y Citrix Daasimpactlocal Privilge Explote Explloit Prerequisiteslocal Access al sistema de systemcvss.
Estrategias de mitigación
Citrix fuertemente recomendado Actualización inmediata a versiones parcheadas. Para las implementaciones de lanzamiento actuales, las organizaciones deben actualizarse a Citrix Virtual Apps and Desktops 2503 o versiones posteriores.
Los clientes de LTSR deben instalar actualizaciones específicas: Citrix Virtual Apps and Desktops 2402 LTSR CU1 Update 1 (CTX694848) y Citrix Virtual Apps and Desktops 2402 LTSR CU2 Update 1 (CTX694849).
Las organizaciones que no pueden actualizar inmediatamente pueden implementar una solución temporal modificando el registro de Windows.
La mitigación implica establecer la clave de registro (HKEY_LOCAL_MACHINE \ Software \ Citrix \ CTXExceptionHandler) con “habilitado” = dword: 00000000.
Esta modificación del registro se puede implementar utilizando la gestión del entorno del espacio de trabajo de Citrix para la gestión centralizada en múltiples sistemas.
Las opciones de implementación adicionales incluyen el uso de servicios de aprovisionamiento de Citrix o servicios de creación de máquinas para agentes de entrega virtual no persistentes, y el Servicio de actualización VDA (VUS) para implementaciones persistentes, proporcionando múltiples vías para que las organizaciones aborden esta vulnerabilidad crítica.
Aprenda lo que los servicios de seguridad administrados realmente cuestan y cómo evitar pagar en exceso para una protección limitada => Guía de descarga
