Symantecのデータ損失防止(Data Loss Prevention)エージェント for Windows における高度な重大度を持つローカル特権昇格フローにより、攻撃者はエンタープライズマシンの完全な制御を獲得でき、悪用に特別な権限は不要です。
セキュリティ研究者が、CVE-2026-3991として追跡されているSymantecデータ損失防止(DLP)エージェント for Windows の重大な脆弱性を開示しました。この脆弱性により、低い権限の攻撃者はアクセス権をシステムレベルの SYSTEM 権限にまで昇格させることが可能です。
このフローは CVSS スコア 7.8 を持ち、高度な重大度カテゴリーに確実に分類され、世界中のエンタープライズセキュリティチームにとって優先的なパッチになります。
この脆弱性の根本原因は、OpenSSL ライブラリが Symantec DLP エージェントソフトウェアにコンパイルおよび埋め込まれた方法にあります。
開発中、エンジニアは誤って内部ビルドディレクトリを指す硬化されたファイルパス(具体的には C:\VontuDev\workDir\openssl\output\x64\Release\SSL\openssl.cnf)を残しました。これは標準的な Windows インストールには存在しません。
DLP エージェントのコアバックグラウンドプロセスである edpa.exe は、最高レベルの SYSTEM 権限で実行されます。
このプロセスが OpenSSL コンポーネントを初期化するたびに、その存在しないパスから設定ファイルをロードしようとします。
ルートディレクトリ C:\VontuDev\ がデフォルトでないため、標準的な Windows 権限設定では認証されたローカルユーザーが多くの場合それを作成することが許可されます。
この脆弱性を悪用するには、高度なツールは必要ありません。
edpa.exe がロードされると、攻撃者が提供した設定ファイルを読み込み、その中のディレクティブを使用して不正な DLL をロードします。
プロセスが既に SYSTEM 権限で実行されているため、注入された悪質なコードは実行され、完全な SYSTEM 権限でマシンの完全な制御を攻撃者に付与します。
この手法は特に危険です。悪質なコードが信頼できる DLP エージェントプロセス内で直接実行されるため、攻撃者はエンドポイント検出ツールをバイパスし、テレメトリ監視を回避し、最小限のノイズで永続的なアクセスを維持することができます。これにより、ランサムウェアおよびサイバースパイ活動キャンペーンにおける理想的な悪用後ツールになります。
このフローは 16.1 MP2 および 25.1 MP1 より前のすべての Symantec DLP エージェントバージョンに影響します。
管理者は直ちに以下のパッチ済みリリースのいずれかにアップグレードする必要があります:
設定の変更は不要です。公式の Broadcom アップデートを適用することで、硬化されたパスの脆弱性が完全に解決されます。
環境で Symantec DLP を実行している組織は、悪用の容易さとその潜在的な影響の重大度を考慮して、これを緊急の修復として扱う必要があります。
翻訳元: https://cyberpress.org/vulnerability-in-symantec-dlp/