Symantec DLP Agent の脆弱性 CVE-2026-3991 が FIX:SYSTEM 権限奪取の可能性

Symantec DLP Agent Flaw Exposed Systems to Privilege Escalation Attacks

2026/04/02 gbhackers — Symantec Data Loss Prevention (DLP) Agent for Windows に存在する、深刻な脆弱性 CVE-2026-3991 (CVSS 7.8) を悪用する攻撃者は、影響を受けるマシンの完全な制御が可能となる。基本的なシステム・アクセス権限を持つ攻撃者であっても、このローカル権限昇格 (LPE) の脆弱性を悪用することで SYSTEM 権限への昇格が可能になるため、システムに対する深刻な侵害リスクに至る恐れがある。

この問題は、セキュリティ研究者 Manuel Feifel により発見され、2025年の後半に Broadcom に報告された。この脆弱性の悪用の前提として、対象システムへの初期侵入が必要であるが、現代のサイバー犯罪や諜報活動において、この種の権限昇格の脆弱性は、きわめて有用なステップとして悪用され得る。

ハードコードされた設計ミス

この脆弱性は、OpenSSL ライブラリのコンパイル手法と、Symantec DLP Agent への統合方法に起因する。具体的には、内部ビルド・ディレクトリを指すハードコードされたファイルパスが残されているが、このディレクトリは通常の Windows 環境には存在しない。

attacker can supply a custom OpenSSL configuration file that the privileged process will consume (Source: InfoGuard Labs)
attacker can supply a custom OpenSSL configuration file that the privileged process will consume (Source: InfoGuard Labs)

Symantec DLP Agent は、最高レベルの SYSTEM 権限で動作する、”edpa.exe” という名のコア・バックグラウンド・プロセスに依存している。このプロセスの起動時に、存在しないパス “C:\VontuDev” からの、OpenSSL のコンフィグ・ファイルの読み込みという問題が生じる。

デフォルトでは “C:\VontuDev” フォルダが存在しないため、上記のコンフィグ・ファイルの読み込みは行われない。しかし、このフォルダの作成は、Windows の一般ユーザーであっても可能な場合がある。つまり、この欠陥を悪用する攻撃者も、”C:\VontuDev” ディレクトリ構造を作成できる。

このフォルダの作成に成功した攻撃者は、カスタム “openssl.cnf” 設定ファイルおよび悪意のダイナミック・リンク・ライブラリ (DLL) を、そこに配置する。したがって、Symantec DLP Agent の再起動時や、OpenSSL コンポーネントの初期化時に、このパスが参照され、そこに配置された内部ファイルは無条件で信頼されてしまう。

その結果、DLP Agent は攻撃者が改竄したコンフィグ・ファイルを読み込み、その中に記された指示により悪意の DLL をロードしてしまう。この “edpa.exe” は SYSTEM 権限で動作するため、注入されたコードも同様に SYSTEM 権限で実行される。したがって攻撃者は、システム全体の完全な制御を取得する。

信頼されている DLP Agent プロセス内で悪意のコードが実行されるため、この手法は高いステルス性を有する。つまり、侵害に成功した攻撃者は、エンドポイント・セキュリティ回避/テレメトリ監視回避/持続的アクセスの隠蔽などを可能にする。

この脆弱性は、Symantec DLP Agent バージョン 16.1 MP2/25.1 MP1 未満に影響を及ぼすものであり、2026年3月30日の時点で Broadcom により、セキュリティ・アドバイザリとパッチが公開されている。

ユーザー組織にとって必要なことは、以下の修正バージョンへの速やかなアップデートにより、ネットワーク環境を保護することだ:

  • DLP 25.1 MP1
  • DLP 16.1 MP2
  • DLP 16.0 RU2 HF9
  • DLP 16.0 RU1 MP1 HF12
  • DLP 16.0 MP2 HF15

この脆弱性の修正において、複雑な設定変更は不要である。公式アップデートの適用により、ハードコードされたパスに起因する脆弱性は完全に解消され、エージェントの安全性が確保される。

訳者後書:脆弱性 CVE-2026-3991 は、最終的な製品内に、開発時の古いファイルパスが残ってしまったことに起因します。本来は存在しないはずのパスを、プログラムが探しに行ってしまうという問題を突く攻撃者は、そこに偽のコンフィグ・ファイルを置くことで SYSTEM 権限の奪取が可能になります。”edpa.exe” という重要なプロセスが、外部のファイルを無条件に信じて読み込んでしまう設計上のミスが、深刻なリスクにつながっています。ご利用のチームは、ご注意ください。よろしければ、Symantec で検索も、ご利用ください。