7月8日Citrix针对旗下的虚拟桌面平台(Virtual Desktop Infrastructure,VDI)Citrix Virtual Apps and Desktops(CVAD)、Citrix DaaS发布资安公告,针对漏洞发现的过程,起初Rapid7观察到,GfxMgr.exe里面有个SYSTEM层级的处理程序,运用了PROCESS_ALL_ACCESS权限来进行操作,而这样的处理程序竟被外泄到CtxGfx.exe的处理程序当中。由于这种弱点是将特殊权限的处理程序内容泄露给低权限使用者拥有的处理程序,因此能在无须额外、特殊的权限,就能复制并产生新的处理程序。
为了验证这项漏洞,他们使用能公开取得的工具GiveMeAHand并修改,来识别并利用这项弱点,结果成功将使用者的身分变为NT AUTHORITYSYSTEM。