IDriveクラウドバックアップクライアント for Windowsで新たに開示された脆弱性は深刻なセキュリティ上の懸念を引き起こしており、ローカル攻撃者が影響を受けるシステム上の最高レベルまで特権を昇格させることができるため。
CVE-2026-1995として追跡されているこの欠陥により、低いレベルのアクセス権を持つ認証済みユーザーがNT AUTHORITY\SYSTEMとして任意のコードを実行でき、システムの完全な侵害につながる可能性がある。
IDriveはユーザーがデータを安全に保存、暗号化、および複数デバイス間で同期できるようにする広く使用されているクラウドバックアップソリューション。
脆弱性はWindowsクライアントアプリケーション、デスクトップおよびサーバーエディションの両方に影響を与え、バックアップ管理の主要なインターフェースとして機能する。
CVE-2026-1995の根本原因は、IDriveクライアントの作業ディレクトリ内のファイルアクセス許可の不適切な処理に存在する。
具体的には、この問題はid_service.exeに存在し、SYSTEMレベルの特権で実行されるバックグラウンドサービスである。
このサービスはC:\ProgramData\IDriveディレクトリに配置されたファイルを読み取り、それらのUTF-16LEエンコードされたコンテンツをプロセスを起動する際の引数として使用する。
しかし、アクセス制御設定が弱いため、ディレクトリは標準的な特権のないユーザーによって書き込み可能である。
ローカルアクセスを持つ攻撃者は、ディレクトリ内でファイルを配置または変更することでこの欠陥を悪用できる。
悪質なexecutableまたはスクリプトへのパスを含むファイルを作成することにより、攻撃者はid_service.exeを操作して任意のコードを実行させることができる。
サービスはSYSTEM特権の下で動作するため、実行するすべてのコードは同じ昇格した権限を継承する。
これは攻撃者が低い特権ユーザーからシステムの完全な管理制御まで昇格することを効果的に許可する。
CVE-2026-1995の悪用に成功すると、攻撃者は侵害されたマシンへの無制限のアクセスを獲得する。
SYSTEMレベルの特権があれば、脅威アクターはローカルセキュリティメカニズムを回避し、幅広い悪質なアクションを実行できる。
これらには機密バックアップデータへのアクセス、システム構成の変更、アンチウイルスソフトウェアなどのセキュリティツールの無効化、永続的なマルウェアまたはランサムウェアの展開が含まれる。
エンタープライズ環境では、これはラテラルムーブメントと広範なネットワーク侵害を助長する可能性がある。
この脆弱性は特に懸念される。なぜなら認証済みのローカルアクセスのみが必要だからであり、この状態はフィッシング、認証情報の盗用、またはインサイド脅威を通じてしばしば達成可能である。
開示時点では、公式なパッチはリリースされていないが、IDriveは問題を認め、修正が開発中であることを確認している。
組織はベンダー更新を綿密に監視し、パッチが利用可能になったらすぐに適用することを推奨される。
当面の間、管理者はリスクを低減するための積極的な措置を取るべき。最も重要な軽減策は、C:\ProgramData\IDriveディレクトリの書き込みアクセス許可を制限し、特権ユーザーのみがそのコンテンツを変更できるようにすること。
さらに、組織はエンドポイント検出対応(EDR)ソリューションを展開して、ディレクトリ内の疑わしいファイルアクティビティを監視する必要がある。
グループポリシー制御を実装して不正なスクリプト実行をブロックすると、攻撃の表面をさらに削減できる。
悪用の単純さと影響の重大性を考えると、CVE-2026-1995はIDriveに依存するWindows環境に対する重大な脅威を表す。公式なパッチがリリースされるまで、即座の防御措置を強く推奨される。
翻訳元: https://cyberpress.org/idrive-for-windows-vulnerability/