概要
Symantec Data Loss Prevention (DLP) Agent for Windowsに重大度が高い脆弱性(CVE-2026-3991)が存在し、低特権の攻撃者が影響を受けるシステムを完全に制御できる可能性があることが明らかになりました。このローカル特権昇格(LPE)の脆弱性はCVSSスコア7.8を記録しています。
発見と報告
セキュリティ研究者Manuel Feifel氏がこの問題を発見し、Broadcomに報告しました。Broadcomは2025年末にこの脆弱性について通知を受け取りました。
脆弱性の詳細
この脆弱性は、OpenSSLライブラリがSymantec DLP Agentソフトウェアに組み込まれる際のコンパイル方法から生じています。開発者は意図せず内部ビルドディレクトリを指すハードコードされたファイルパスを残していました。
この脆弱性は、edpa.exeプロセスが起動する際に存在しないパス(C:\VontuDev\workDir\openssl\output\x64\Release\SSL\openssl.cnf)からOpenSSL設定ファイルを読み込むように設計されています。通常のWindowsインストールでは、このC:\VontuDevフォルダは存在しません。
攻撃手順
- ディレクトリ構造を生成: 攻撃者はまず、欠落しているディレクトリ構造を作成します。
- 悪意のあるDLLと設定ファイルの配置: 次に、攻撃者はカスタムopenssl.cnf設定ファイルと悪意のあるダイナミックリンクライブラリ(DLL)を新しく作成したフォルダに置きます。
- 悪意のあるコードの実行: Symantec DLP Agentが再起動またはOpenSSLコンポーネントを初期化する際に、このパスをチェックし、内部にあるファイルを盲信的に読み込みます。攻撃者の設定ファイルは特定のディレクティブを使用して悪意のあるDLLをロードします。
これらの手順により、edpa.exeプロセスがシステム権限で実行されることから、注入されたコードもシステム権限で実行され、攻撃者が完全なシステム制御を獲得する可能性があります。
対策とアップデート情報
Broadcomはこの脆弱性に対するセキュリティアドバイザリーとパッチを2026年3月30日に公開しました。影響を受けているSymantec DLP Agentのバージョンは、16.1 MP2および25.1 MP1以前です。
組織は以下のアップデート版にすぐに移行することをお勧めします:
- DLP 25.1 MP1
- DLP 16.1 MP2
- DLP 16.0 RU2 HF9
- DLP 16.0 RU1 MP1 HF12
- DLP 16.0 MP2 HF15
これらのアップデートは、問題を解決するために必要な設定変更が不要であり、公式ベンダーの更新によりハードコードされたパスの脆弱性が完全に修正され、エージェントが保護されます。