安全研究人员披露Citrix虚拟应用和桌面系统存在新漏洞，可被黑客利用实现无需身份验证的远程代码执行（RCE）

据watchTowr实验室发现，这个漏洞存在于会话录制组件中。该组件允许系统管理员捕获用户活动，记录键盘和鼠标输入，以及桌面视频流，用于审计、合规和故障排查。

安全研究员辛纳·凯尔哈尔指出，此漏洞的关键在于"一个权限配置错误的MSMQ实例，它使用了BinaryFormatter序列化方法，任何主机都可以通过HTTP访问并实现无需验证的远程代码执行。"

漏洞详情如下：

不过，Citrix表示，成功利用这些漏洞需要攻击者是会话录制服务器所在Windows Active Directory域的认证用户，且位于同一内网环境。以下版本已修复这些漏洞：

值得注意的是，微软已经呼吁开发者停止使用BinaryFormatter进行反序列化，因为该方法在处理不受信任的输入时存在安全隐患。截至2024年8月，.NET 9已经移除了BinaryFormatter的实现。

微软在其文档中指出："BinaryFormatter的设计早于反序列化漏洞被广泛认知的时期。因此，其代码并不符合现代最佳实践。BinaryFormatter.Deserialize可能存在信息泄露或远程代码执行等安全风险。"

问题的核心在于会话录制存储管理器（Session Recording Storage Manager）这个Windows服务，它负责管理来自启用了录制功能的每台计算机的会话文件。

虽然存储管理器通过Microsoft消息队列（MSMQ）服务接收会话录制的消息字节，但研究发现，数据传输过程中使用了序列化处理，而且队列实例被赋予了过高的权限。

更严重的是，从队列接收的数据使用BinaryFormatter进行反序列化，这使得攻击者可以利用初始化过程中设置的不安全权限，通过互联网发送特制的MSMQ消息。

凯尔哈尔在详述漏洞利用步骤时说："我们发现存在一个权限配置错误的MSMQ实例，它使用了臭名昭著的BinaryFormatter类进行反序列化。更糟糕的是，不仅可以通过本地MSMQ TCP端口访问它，还可以通过HTTP从任何主机访问。"

"这种组合最终导致了一个经典的无需验证的远程代码执行漏洞，"研究员补充道。

详细技分析

https://labs.watchtowr.com/visionaries-at-citrix-have-democratised-remote-network-access-citrix-virtual-apps-and-desktops-cve-unknown/

PoC

GITHUB：https://github.com/watchtowrlabs/Citrix-Virtual-Apps-XEN-Exploit

https://lp.lmboke.com/Citrix-Virtual-Apps-XEN-Exploit-main.zip

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本平台和发布者不为此承担任何责任。