Lỗ hổng nghiêm trọng trong Symantec DLP Agent cho phép leo thang đặc quyền lên SYSTEM

[WhiteHat Team]

Một người dùng nội bộ có quyền thấp, không cần công cụ phức tạp, vẫn có thể chiếm toàn bộ quyền điều khiển máy Windows trong doanh nghiệp, đó là kịch bản mà lỗ hổng CVE-2026-3991 trong Symantec Data Loss Prevention Agent đang mở ra. Điểm yếu này biến một thành phần bảo vệ dữ liệu trở thành bàn đạp leo thang đặc quyền, đưa kẻ tấn công lên thẳng cấp SYSTEM chỉ sau vài thao tác cơ bản.​

CVE-2026-3991 được đánh giá ở mức nghiêm trọng với điểm CVSS 7.8. Điều đáng chú ý không chỉ nằm ở mức độ ảnh hưởng mà còn ở cách khai thác gần như không có rào cản, không yêu cầu đặc quyền cao hay chuỗi kỹ thuật phức tạp. Trong môi trường thực tế, đây là dạng điểm yếu rất dễ bị tận dụng sau khi kẻ tấn công đã có được quyền truy cập ban đầu.

Nguyên nhân không nằm ở một lỗi logic phức tạp mà bắt nguồn từ một chi tiết tưởng chừng nhỏ trong quá trình build phần mềm. Trong quá trình phân tích, các nhà nghiên cứu phát hiện DLP Agent vẫn giữ lại một đường dẫn cấu hình nội bộ của OpenSSL, trỏ tới một thư mục vốn chỉ tồn tại trong môi trường phát triển:
C:\VontuDev\workDir\openssl\output\x64\Release\SSL\openssl.cnf. Đây là đường dẫn không xuất hiện trên các hệ thống Windows thông thường. Tuy nhiên, chính sự “vắng mặt mặc định” này lại vô tình tạo ra khoảng trống để bị lợi dụng.

Tiến trình edpa.exe, thành phần lõi của DLP Agent, luôn chạy với quyền SYSTEM và tự động nạp cấu hình OpenSSL mỗi khi khởi tạo. Điều này cho phép một người dùng cục bộ tạo sẵn cấu trúc thư mục tương ứng, từ đó kiểm soát tệp cấu hình mà tiến trình đặc quyền sẽ sử dụng.

Kịch bản khai thác diễn ra hết sức âm thầm. Từ đây, chuỗi tấn công trở nên trực tiếp và dễ thực hiện khi kẻ tấn công chỉ cần dựng lại cấu trúc thư mục tương ứng, đặt vào một tệp openssl.cnf do mình kiểm soát cùng một DLL độc hại. Khi dịch vụ DLP được khởi động lại hoặc tiến trình edpa.exe tái khởi tạo, cấu hình giả mạo sẽ được nạp và kích hoạt việc tải DLL. Mã độc vì thế được thực thi ngay bên trong tiến trình hợp pháp với quyền SYSTEM, đồng nghĩa với việc hệ thống bị kiểm soát hoàn toàn.

Điểm nguy hiểm nằm ở chỗ toàn bộ hành vi thực thi diễn ra trong một tiến trình đáng tin cậy, khiến khả năng bị phát hiện giảm đáng kể. Kỹ thuật này cho phép né tránh các cơ chế giám sát, hạn chế dấu vết bất thường và duy trì truy cập lâu dài. Đây là một phương thức đặc biệt hiệu quả, có thể bị tận dụng để triển khai mã độc nâng cao hoặc mở rộng phạm vi xâm nhập trong mạng nội bộ.

CVE-2026-3991 được phát hiện bởi Manuel Feifel từ InfoGuard Labs và đã được báo cáo tới Broadcom vào cuối năm 2025. Đến ngày 30/3/2026, hãng đã phát hành cảnh báo bảo mật kèm theo các bản vá chính thức.

Các phiên bản Symantec DLP Agent trước 16.1 MP2 và 25.1 MP1 đều bị ảnh hưởng. Broadcom khuyến nghị các tổ chức nhanh chóng nâng cấp lên các phiên bản đã được vá, bao gồm 25.1 MP1, 16.1 MP2 và các bản cập nhật tích lũy liên quan trong nhánh 16.0. Việc cập nhật không yêu cầu thay đổi cấu hình và xử lý triệt để vấn đề đường dẫn hardcoded.

Với khả năng khai thác dễ dàng và cho phép leo thang đặc quyền trực tiếp lên SYSTEM, CVE-2026-3991 cần được ưu tiên xử lý ngay trong các môi trường đang triển khai Symantec DLP. Thực tế cho thấy, những lỗ hổng dạng này thường trở thành bàn đạp để kẻ tấn công mở rộng quyền kiểm soát sau khi đã xâm nhập ban đầu, từ đó tiến tới chiếm quyền toàn bộ hệ thống.​

Theo Cyber Press​