В мире корпоративной информационной безопасности продукты для предотвращения утечек данных (Data Loss Prevention, DLP) традиционно считаются одним из ключевых элементов защиты периметра. Однако новая критическая уязвимость в агенте Symantec DLP для Windows напоминает, что даже инструменты защиты могут стать ахиллесовой пятой всей системы. Обнаруженная ошибка позволяет злоумышленнику с минимальными правами доступа получить полный контроль над компьютером, превратив агент безопасности в инструмент для скрытой и продолжительной атаки.
Уязвимость CVE-2026-3991
Проблема, получившая идентификатор CVE-2026-3991, была обнаружена исследователем Мануэлем Файфелем и сообщена вендору, компании Broadcom, в конце 2025 года. Её оценка по шкале CVSS составляет 7.8 баллов, что соответствует высокому уровню серьёзности. По своей природе это уязвимость локального повышения привилегий (Local Privilege Escalation, LPE), которая позволяет пользователю с обычными правами повысить свой уровень доступа до привилегий системной учётной записи (SYSTEM). Это предоставляет злоумышленнику неограниченные возможности на заражённой машине.
Важно понимать контекст подобных уязвимостей. Сама по себе эта ошибка не позволяет удалённо взломать систему. Для её эксплуатации злоумышленник уже должен иметь начальный доступ к компьютеру, например, под видом обычного пользователя. Однако в современных цепочках кибератак, будь то кампании программ-вымогателей или целевой шпионаж, этап повышения привилегий является критически важным. Получив права SYSTEM, злоумышленники могут отключать системы защиты, скрывать свою активность, перемещаться по сети и получать доступ к самым ценным данным. Таким образом, данная уязвимость служит идеальным трамплином для развития успешной атаки после первоначального проникновения.
Корень проблемы лежит в, казалось бы, незначительной оплошности на этапе разработки. Как выяснилось, уязвимость возникает из-за способа компиляции и интеграции библиотеки OpenSSL в программное обеспечение агента Symantec DLP. Разработчики случайно оставили в коде жёстко прописанный путь к внутренней директории сборки: "C:\VontuDev\workDir\openssl\output\x64\Release\SSL\openssl.cnf". Эта папка по умолчанию отсутствует в стандартной установке Windows.
Ключевой процесс агента DLP, "edpa.exe", работает с высочайшим уровнем привилегий (SYSTEM). Каждый раз при своём запуске он пытается загрузить конфигурационный файл OpenSSL именно по этому несуществующему пути. Поскольку корневая папка "C:\VontuDev" изначально отсутствует, настройки Windows зачастую разрешают любому аутентифицированному пользователю создать её самостоятельно.
Эксплуатация уязвимости становится тривиальной. Злоумышленник с базовыми правами пользователя последовательно создаёт на системном диске всю недостающую структуру папок. Затем он размещает в конечной директории два файла: специально сконфигурированный "openssl.cnf" и вредоносную динамически подключаемую библиотеку (DLL). Когда агент DLP перезапускается или инициализирует свои компоненты OpenSSL, он проверяет этот путь и, что критично, слепо доверяет файлам внутри. Агент загружает предоставленный злоумышленником конфигурационный файл, который с помощью специальной директивы предписывает загрузить вредоносную DLL. Поскольку процесс "edpa.exe" работает от имени SYSTEM, то и внедрённый код выполняется с теми же правами, предоставляя атакующему тотальный контроль над системой.
Главная опасность этой техники заключается в её скрытности. Вредоносный код выполняется непосредственно внутри доверенного процесса агента DLP, который редко вызывает подозрения у систем мониторинга. Это позволяет злоумышленникам эффективно обходить защиту конечных точек (Endpoint Detection and Response, EDR), скрывать свою активность в телеметрии и надёжно закрепляться в системе для долгосрочного шпионажа или подготовки к масштабной атаке. Система, призванная предотвращать утечки, сама становится каналом для скрытного управления.
Компания Broadcom отреагировала на обнаружение уязвимости и 30 марта 2026 года выпустила официальное уведомление безопасности и соответствующие исправления. Проблема затрагивает версии Symantec DLP Agent ранее 16.1 MP2 и 25.1 MP1. Для устранения риска организациям необходимо в срочном порядке обновить агенты до одной из защищённых версий, таких как DLP 25.1 MP1, DLP 16.1 MP2 или более поздних исправленных сборок для линейки 16.0. Для установки исправления не требуется сложных изменений конфигурации - достаточно применить официальное обновление от вендора, которое полностью устраняет проблему с жёстко прописанным путём.
Этот инцидент служит наглядным напоминанием для всех специалистов по кибербезопасности. Даже самые надёжные, на первый взгляд, инструменты требуют постоянного контроля и своевременного обновления. Уязвимость в агенте DLP подрывает основы защиты, так как компрометации подвергается именно тот компонент, который должен обеспечивать целостность данных. В современных условиях, когда атаки становятся всё более изощрёнными, регулярное обновление программного обеспечения, включая системы безопасности, перестаёт быть рекомендацией и становится строгой необходимостью для защиты бизнеса от глубокого и разрушительного взлома.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3991
- https://labs.infoguard.ch/advisories/cve-2026-3991_symantec-dlp-agent_local-privilege-escalation/
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37306
