IDrive Cloud Backup Client for Windows に重大なセキュリティ欠陥が発見され、ユーザーがローカル権限昇格攻撃にさらされています。
CVE-2026-1995 として追跡されているこの脆弱性により、認証済みの低権限攻撃者は最高のシステム権限で任意のコードを実行でき、対象デバイスの完全な侵害につながる可能性があります。
IDrive は、組織と個人が複数のプラットフォーム全体でデータを暗号化、同期、保存できるようにする広く使用されているクラウドバックアップサービスです。
KB Cert によると、この脆弱性はデスクトップおよびサーバーエディションの両方の Windows クライアントに特に影響を及ぼし、クラウドバックアップの管理インターフェースとして機能します。
CVE-2026-1995 の技術的分析
この脆弱性は IDrive クライアント バージョン 7.0.0.63 以前に影響を与えます。コアのセキュリティ障害は id_service.exe ユーティリティに存在し、これは昇格された NT AUTHORITY\SYSTEM 権限で動作するバックグラウンド プロセスです。
このサービスは C:\ProgramData\IDrive ディレクトリ内に保存されている特定のファイルを定期的に読み取り、それらの UTF16-LE エンコードされたコンテンツを引数として新しいプロセスを起動するために使用します。
このフォルダの権限設定が弱いため、システムにログインしている標準ユーザーには書き込みアクセス権が付与されます。
認証済みの攻撃者は、既存のファイルを上書きするか、ディレクトリに新しいファイルを追加することによって、この設定ミスを悪用できます。
悪意あるスクリプトまたは実行可能ファイルを指すファイルパスを挿入することで、攻撃者は昇格された id_service.exe プロセスに自分のペイロードを実行させるよう騙します。
IDrive サービスが SYSTEM 権限で動作するため、注入された悪意のあるコードは実行時にそれらの正確な管理者権限を継承します。
このフローの成功した悪用により、攻撃者は対象の Windows マシンを完全に制御できます。
標準ユーザーから SYSTEM レベルへの権限昇格により、脅威アクターはローカルセキュリティ制御を容易にバイパスできます。
昇格されたアクセスが達成されると、攻撃者は広範な悪意のある活動を実行できます。
これには、機密の暗号化されたバックアップ データの盗用、重要なシステム構成の変更、アンチウイルス ソフトウェアの無効化、または環境全体への永続的なマルウェアおよびランサムウェアの展開が含まれます。
軽減およびディフェンス戦略
現在、CVE-2026-1995 の公式パッチは利用できませんが、IDrive はセキュリティ更新プログラムが積極的に開発中であることを確認しています。
IDrive Windows クライアントを使用している組織は、ベンダーのリリース チャネルを監視し、ソフトウェア更新プログラムが利用可能になったらすぐに適用することをお勧めします。
パッチが展開されるまで、セキュリティ チームは環境をセキュアにするための手動の回避策を実装する必要があります。
管理者は C:\ProgramData\IDrive ディレクトリ への書き込み権限を制限し、高度な権限を持つ管理者アカウントのみがフォルダの内容を変更できるようにすることを強くお勧めします。
さらに、組織は Endpoint Detection and Response (EDR) ソリューションを活用して不正なファイル変更を監視し、グループ ポリシーを展開して、信頼できないスクリプトの実行を積極的に防止する必要があります。
翻訳元: https://gbhackers.com/idrive-for-windows-vulnerability/
