文章总结： 赛门铁克数据丢失防护(DLP)Windows代理程序存在高危权限提升漏洞CVE-2026-3991，CVSS评分7.8。该漏洞源于OpenSSL库编译时使用了硬编码的开发路径，低权限用户可创建该路径并放置恶意openssl.cnf文件与DLL载荷，当edpa.exe进程以SYSTEM权限重启时即会加载并执行恶意代码。该漏洞影响16.1MP2或25.1MP1之前的版本，建议管理员立即升级至DLP25.1MP1等修复版本。 综合评分： 91 文章分类： 漏洞分析,终端安全,应用安全

赛门铁克DLP代理漏洞允许攻击者提升权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月2日 19:12 北京

在小说阅读器读本章

去阅读

Symantec数据丢失防护 (DLP) Windows 代理程序中发现了一个高危安全漏洞。

该漏洞编号为 CVE-2026-3991，允许低权限的本地攻击者将其系统权限提升到最高级别。

安全研究员曼努埃尔·费费尔发现了这个漏洞，博通公司最近发布了补丁来解决这个问题。

该漏洞的 CVSS 评分为 7.8。利用该漏洞无需任何特殊配置，这意味着使用默认设置运行的代理程序完全暴露。

赛门铁克 DLP 代理漏洞

核心问题源于 OpenSSL 库的编译方式以及将其集成到 Symantec DLP Agent 中的方式。

该库的构建过程中使用了硬编码的配置路径，指向一个特定的开发目录，而该目录在标准的 Windows 安装中并不存在。

由于 Windows 通常默认授予已认证用户在根目录级别创建缺失文件夹的权限，因此任何低权限用户都可以重现此开发路径。易受攻击的进程 edpa.exe以 SYSTEM 权限运行。

当此过程开始时，它会在攻击者控制的硬编码位置搜索其OpenSSL 配置文件(openssl.cnf)。

要成功利用 CVE-2026-3991，具有基本本地访问权限的威胁行为者必须遵循一条简单的攻击路径。

• 攻击者在 C:\VontuDev\workDir\openssl\output\x64\Release\SSL\ 创建缺失的目录结构。
• 他们将恶意 OpenSSL.cnf 文件和有效载荷 DLL 放入这个新创建的文件夹中。
• 精心构造的配置文件使用标准的 OpenSSL 指令 dynamic_path 直接指向攻击者的 DLL。
• 当 Symantec DLP Agent 服务重新启动或触发 OpenSSL 初始化时，它会读取恶意配置文件。
• 系统将攻击者的DLL 作为动态引擎加载，并立即以 SYSTEM 权限执行它。

由于恶意代码直接在受信任的 DLP 代理进程中执行，因此该攻击对企业网络尤其危险。

威胁行为者可以利用这种技术绕过终端安全保护，并完全规避系统遥测。

此外，攻击者可以利用这种被入侵的进程，在主机上保持深度、持久的访问权限，同时对安全监控工具而言，这看起来完全合法。

受影响版本和已修复版本

博通公司于 2025 年 11 月首次获悉该问题，并于 2026 年 3 月 30 日发布了正式的安全公告和修复程序。

依赖赛门铁克数据防泄漏 (DLP) 的组织应立即更新其Windows 端点代理，以缓解此威胁。

该漏洞会影响 16.1 MP2 或 25.1 MP1 之前的 Symantec DLP 代理。

强烈建议系统管理员升级到以下数据丢失防护 (DLP) 的修复版本：DLP 25.1 MP1、DLP 16.1 MP2、DLP 16.0 RU2 HF9、DLP 16.0 RU1 MP1 HF12 和 DLP 16.0 MP2 HF15，如Infoguard Labs 公告中所述。

管理员应优先考虑这些补丁，尤其是在内部威胁、本地权限提升或横向移动是重大安全问题的环境中。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《赛门铁克DLP代理漏洞允许攻击者提升权限》