XenServer VM Tools for Windows 中的三个严重漏洞允许攻击者在来宾作系统中执行任意代码并提升权限。

这些漏洞被确定为 CVE-2025-27462、CVE-2025-27463 和 CVE-2025-27464，影响 9.4.1 之前的适用于 Windows 的 XenServer VM Tools 的所有版本。

这些漏洞作为 Xen 安全公告的一部分公开披露，促使全球虚拟化平台管理员立即采取行动。

这些安全漏洞对在 XenServer 和 Citrix Hypervisor 平台上运行 Windows 虚拟机的企业环境构成重大风险。

Xen Windows PV 驱动程序缺陷

这些漏洞源于对 Windows PV 驱动程序中用户公开的设备的权限过多，特别是影响三个核心组件：XenCons、XenIface 和 XenBus。

根据安全公告，这些组件“没有安全描述符，因此非特权用户完全可以访问”。

XenCons 驱动程序漏洞 （CVE-2025-27462） 首次在版本 9.0.0 中引入，自首次发布以来一直容易受到攻击。

XenIface （CVE-2025-27463） 和 XenBus （CVE-2025-27464） 驱动程序在所有版本中都容易受到攻击，这使得此问题成为影响众多企业部署的广泛问题。

受影响的系统包括在 XenServer 8.4 和 Citrix Hypervisor 8.2 CU1 LTSR 上运行的 Windows 虚拟机。

具体而言，早于 9.0.9065 的 XCP-ng PV 总线、XCP-ng 接口和 XCP-ng PV 控制台版本容易受到攻击，而早于 9.1.11.115 的 XenServer/Citrix PV 总线版本和早于 9.1.12.94 的 PV 接口版本也存在风险。

这些漏洞使 Windows 来宾作系统中的非特权用户能够将特权升级到来宾内核的权限。这表示严重的安全漏洞，因为具有有限访问权限的攻击者可以完全控制受影响的虚拟机。

这些漏洞的 CVSSv4.0 评分为 5.9，根据一些评估被归类为“低”风险，但实际影响很严重。

利用这些缺陷的攻击者可以以系统级权限执行任意代码，从而可能泄露敏感数据、安装恶意软件或将受感染的 VM 用作在网络内横向移动的枢轴点。

利用媒介是本地的，这意味着攻击者必须已经对 Windows 来宾系统具有一定级别的访问权限。

但是，此限制并不能显著降低威胁，因为许多攻击场景涉及通过网络钓鱼、恶意软件或其他提供必要立足点的媒介进行初始入侵。

缓解措施

Citrix 和 XenServer 发布了适用于 Windows 的 XenServer VM Tools 版本 9.4.1 来解决这些漏洞。

更新后的工具包含特定的组件版本，包括 xenbus 9.1.11.115、xeniface 9.1.12.94 和其他修补的驱动程序。

管理员应立即通过多种可用渠道将所有 Windows VM 更新到最新的 XenServer VM Tools 版本：从 Citrix 支持直接下载、Windows Update 机制或 Management Agent 自动更新功能。

使用 Windows Update 的组织应验证 “通过 Windows Update 管理 Citrix PV 驱动程序” 是否已启用。

对于无法立即修补的环境，可以使用 PowerShell 缓解脚本，该脚本可以通过在注册表中插入适当的安全描述符来扫描漏洞或应用临时修复程序。

但是，此脚本仅解决 XenIface 驱动程序漏洞，应被视为临时措施。

关键基础设施运营商应优先考虑这些更新，因为虚拟化环境通常托管任务关键型应用程序和敏感数据系统。