概要
IDrive Cloud Backup Client で、Windows 対応の重大なセキュリティ欠陥が見つかりました。この脆弱性は、CVE-2026-1995 としてトラッキングされており、認証された低特権ユーザーがシステム全体を制御する可能性のあるコードを実行できるようにします。
影響範囲
IDriveは、組織や個人がデータを暗号化し、同期および複数のプラットフォームに保存できるクラウドバックアップサービスです。この脆弱性は、Windowsクライアント(デスクトップ版とサーバー版)に影響を与えます。
技術的な詳細
CVE-2026-1995 は IDrive クライアントバージョン 7.0.0.63 以前で発生します。脆弱性の中心となる部分は、NT AUTHORITY\system 特権で動作する id_service.exe ユーティリティです。
このサービスは、C:\программаний𝘚IDrive ディレクトリ内の特定のファイルを読み込み、その UTF16-LE エンコードされた内容を使用して新しいプロセスを起動します。このディレクトリに対する脆弱な権限設定により、システムにログインしている標準ユーザーが書き込みアクセスを許可されます。
認証された攻撃者は、既存のファイルを上書きしたり、新しいファイルを追加することでこの不備を利用できます。悪意のあるスクリプトや実行可能ファイルへのパスを挿入すると、id_service.exe プロセスがそのペイロードを実行するように誤導されます。
影響と対策
この脆弱性の成功した悪用により、攻撃者はターゲットの Windows マシンに対する完全な制御を得ることができます。標準ユーザーから SYSTEM レベルへの特権昇格を達成することで、脅威アクターは容易にローカルセキュリティコントロールをバイパスできます。
防御策
IDrive は現在、この脆弱性に対する公式のパッチを開発中です。組織は、IDrive Windows クライアントを使用している場合、ベンダーからのリリースチャネルを監視し、ソフトウェア更新が利用可能になったらすぐに適用することをお勧めします。
パッチが展開されるまで、セキュリティチームは手動のワークアラウンドを実装して環境を保護する必要があります。管理者には、C:\ProgramData\IDrive ディレクトリに対する書き込み権限を制限し、高度な特権を持つ管理者アカウントのみがフォルダの内容を変更できるようにすることをお勧めします。
さらに、組織はエンドポイント検出および応答 (EDR) ソリューションを使用して、不正なファイルの変更を監視し、グループポリシーを使用して信頼できないスクリプトの実行を防止するように構成することをお勧めします。
元記事: https://gbhackers.com/idrive-for-windows-vulnerability/