Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Windows Virtual Delivery Agent (VDA) của Citrix, có khả năng cho phép những kẻ tấn công có quyền truy cập hệ thống cấp thấp leo thang đặc quyền lên cấp độ SYSTEM. Điều này tiềm ẩn nguy cơ cấp quyền kiểm soát hoàn toàn đối với các hệ thống bị ảnh hưởng.
Chi Tiết Kỹ Thuật Lỗ Hổng
Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-6759 và ảnh hưởng đến cả môi trường Citrix Virtual Apps and Desktops cũng như Citrix DaaS (Desktop as a Service). Lỗ hổng bảo mật này đã được công bố vào ngày 8 tháng 7 năm 2025, đặt ra một mối đe dọa đáng kể cho các tổ chức sử dụng công nghệ ảo hóa của Citrix.
Theo bản tin bảo mật CTX694820 của Citrix, lỗ hổng xuất phát từ việc quản lý đặc quyền không đúng cách trong Windows Virtual Delivery Agent. Cụ thể, lỗ hổng này được phân loại theo mã CWE-269: Improper Privilege Management (Quản lý đặc quyền không đúng cách). Điểm yếu này cho phép kẻ tấn công cục bộ, những người đã có quyền truy cập ban đầu vào một hệ thống, leo thang đặc quyền của họ lên mức quản trị cao nhất, tức là cấp độ SYSTEM.
Các Phiên Bản Bị Ảnh Hưởng
Lỗ hổng ảnh hưởng đến một số phiên bản được hỗ trợ của Windows Virtual Delivery Agent dành cho các hệ điều hành phiên đơn (single-session operating systems). Các tổ chức đang chạy phiên bản Current Release (CR) của Citrix Virtual Apps and Desktops trước phiên bản 2503 đều có nguy cơ bị tấn công.
Ngoài ra, các cài đặt Long Term Service Release (LTSR) đang chạy Citrix Virtual Apps and Desktops 2402 LTSR CU2 và các phiên bản cũ hơn trong nhánh 2402 LTSR cũng dễ bị tổn thương. Điều quan trọng cần lưu ý là Citrix Virtual Apps and Desktops 2203 LTSR không bị ảnh hưởng bởi vấn đề bảo mật này.
Giải Pháp Khắc Phục và Biện Pháp Tạm Thời
Citrix đã phát hành các bản vá cho các hệ thống bị ảnh hưởng và khuyến nghị mạnh mẽ việc nâng cấp ngay lập tức.
Nâng Cấp Hệ Thống
- Đối với môi trường Current Release (CR), các tổ chức nên nâng cấp lên Citrix Virtual Apps and Desktops 2503 hoặc các phiên bản mới hơn.
- Khách hàng sử dụng phiên bản LTSR có thể áp dụng các bản cập nhật cụ thể: 2402 LTSR CU1 Update 1 và 2402 LTSR CU2 Update 1. Cả hai bản cập nhật này đều có sẵn thông qua các kênh hỗ trợ của Citrix.
Biện Pháp Tạm Thời (Workaround)
Đối với các tổ chức không thể triển khai ngay lập tức các bản vá, Citrix cung cấp một biện pháp tạm thời liên quan đến việc sửa đổi khóa registry. Các quản trị viên có thể vô hiệu hóa thành phần dễ bị tổn thương bằng cách đặt giá trị “Enabled” thành 0 trong khóa registry HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxExceptionHandler.
Để thực hiện biện pháp tạm thời này, hãy mở Registry Editor (regedit.exe) và điều hướng đến đường dẫn sau. Sau đó, tìm giá trị “Enabled” và chỉnh sửa dữ liệu giá trị của nó:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxExceptionHandler
"Enabled" = 0 (DWORD)Việc đặt giá trị này về 0 sẽ vô hiệu hóa thành phần gây ra lỗ hổng, giúp giảm thiểu rủi ro cho đến khi có thể áp dụng bản vá chính thức.
Quá Trình Phát Hiện
Lỗ hổng này được phát hiện thông qua quy trình tiết lộ có trách nhiệm bởi các nhà nghiên cứu bảo mật Timm Lippert và Christopher Beckmann từ SySS GmbH, cùng với Brandon Fisher từ Rapid7. Sự hợp tác của họ với Citrix đã minh chứng tầm quan trọng của việc tiết lộ lỗ hổng phối hợp trong việc bảo vệ môi trường doanh nghiệp.
