Plataforma
windows
Componente
windows-virtual-delivery-agent
Corregido en
2503
2402.0.1
CVE-2025-6759 describe una vulnerabilidad de elevación de privilegios local en Windows Virtual Delivery Agent. Esta falla permite a un usuario con privilegios limitados obtener acceso de SYSTEM, comprometiendo la seguridad del sistema. La vulnerabilidad afecta a versiones de Windows Virtual Delivery Agent anteriores o iguales a la 2503, y se recomienda actualizar a la versión 2503 para solucionar el problema.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el sistema afectado, asumiendo privilegios de SYSTEM. Esto permitiría la instalación de software malicioso, el acceso a datos confidenciales, la modificación de la configuración del sistema y el movimiento lateral a otros sistemas dentro de la red. La vulnerabilidad es particularmente preocupante en entornos Citrix DaaS y CVAD, donde la gestión centralizada de escritorios virtuales aumenta el potencial de impacto. La capacidad de escalar privilegios de esta manera podría permitir a un atacante comprometer toda la infraestructura de virtualización.
La vulnerabilidad CVE-2025-6759 fue publicada el 8 de julio de 2025. No se ha confirmado la explotación activa en entornos reales, pero la naturaleza de la elevación de privilegios local la convierte en un objetivo atractivo para los atacantes. La disponibilidad de una solución (versión 2503) reduce la probabilidad de explotación, pero la falta de información sobre la existencia de un PoC público no garantiza la seguridad. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Organizations heavily reliant on Windows Virtual Delivery Agent for VDI or Citrix DaaS deployments are at significant risk. Environments with weak user privilege management or lacking robust network segmentation are particularly vulnerable. Legacy configurations or deployments that have not been regularly patched are also at increased risk.
• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID = 4624 -MessageText '*Authentication succeeded* SYSTEM*'">• windows / supply-chain:
Get-Process -ErrorAction SilentlyContinue | Where-Object {$_.ProcessName -match 'VDA'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*VDA*'} | Format-Table TaskName, Statedisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
La mitigación principal para CVE-2025-6759 es actualizar Windows Virtual Delivery Agent a la versión 2503 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior estable antes de aplicar la actualización. Como medida temporal, se recomienda revisar las políticas de control de acceso y restringir los privilegios de los usuarios tanto como sea posible. Monitorear los registros del sistema en busca de actividad sospechosa, como intentos de escalada de privilegios, también puede ayudar a detectar y responder a ataques.
Actualice Windows Virtual Delivery Agent a la versión 2503 o superior, o a la versión 2402 LTSR CU3 o superior. Esto solucionará la vulnerabilidad de escalada de privilegios local.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-6759 is a vulnerability in Windows Virtual Delivery Agent that allows a low-privileged user to gain SYSTEM privileges, potentially compromising the entire system.
You are affected if you are using Windows Virtual Delivery Agent versions equal to or less than 2503. Check your current version and upgrade accordingly.
Upgrade Windows Virtual Delivery Agent to version 2503 or later to remediate the vulnerability. If immediate upgrade is not possible, implement network segmentation and restrict user privileges.
While no public exploits are currently available, the potential for SYSTEM-level privilege escalation suggests a high likelihood of exploitation in the future. Monitor security advisories.
Refer to the Microsoft Security Update Guide for the latest information and official advisory regarding CVE-2025-6759.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.