2026/03/26 gbhackers — IDrive Cloud Backup Client において、ローカル権限昇格を発生させる深刻な脆弱性 CVE-2026-1995 が確認されている。この脆弱性を悪用する認証済みのユーザーは、低権限であっても最高権限での任意のコード実行が可能となり、対象デバイスを完全に侵害する可能性を得る。
組織および個人に広く利用される IDrive は、複数のプラットフォーム間でデータの暗号化/同期/保存を行うクラウド・バックアップ・サービスである。
KB Cert によると、この脆弱性は、クラウド・バックアップの管理インターフェイスとして機能するコンポーネントに起因し、Windows クライアント (デスクトップ版/サーバー版) に影響を及ぼす。この脆弱性が影響を及ぼす範囲は、バージョン 7.0.0.63 以下である。
CVE-2026-1995 の技術詳細
この問題は、バックグラウンド・プロセスとして NT AUTHORITY\SYSTEM 権限で実行される、”id_service.exe” ユーティリティに存在する。
このサービスは、”C:\ProgramData\IDrive” ディレクトリ内のファイルを定期的に読み取り、UTF-16-LE でエンコードされた内容を引数として、新規のプロセスを起動する。しかし、このディレクトリには、不適切なパーミッションが設定されているため、一般ユーザーであっても書き込みが可能な状況にある。
この設定の不備を悪用する認証済みの攻撃者は、既存ファイルの上書き/新規ファイルの配置を実行できる。悪意のスクリプトや実行型ファイルへのパスを記述し、権限昇格された “id_service.exe” を騙すことで、ペイロードの実行が可能になる。
この “id_service.exe” は SYSTEM 権限で動作するため、実行される悪意のコードも同じ権限を継承する。その結果として、攻撃者はローカルユーザーから SYSTEM 権限へと権限昇格し、ローカルのセキュリティ制御を容易に回避できる。
影響
この脆弱性の悪用に成功した攻撃者は、対象 Windows マシンの完全な制御が可能となる。それにより生じる主な影響は、以下のとおりである。
- 暗号化バックアップ・データの窃取
- システム・コンフィグレーションの改竄
- アンチウイルスの無効化
- 永続的なマルウェア/ランサムウェアの展開
現時点において、公式パッチは未提供であり、IDrive による更新プログラムの開発が進められている段階にある。IDrive Windows クライアントを利用する組織に対して強く推奨されるのは、ベンダーのリリース情報を監視し、更新が公開され次第直ちに適用することである。
パッチ適用までの暫定的な対策として、以下を実施すべきである。
- “C:\ProgramData\IDrive” ディレクトリの書き込み権限を制限し、管理者のみに限定する。
- EDR を活用し、不正なファイル変更を監視する。
- グループ・ポリシーにより未承認スクリプトの実行を防止する。
この脆弱性は権限昇格を伴うため、侵入後の完全な侵害の起点となり、ラテラル・ムーブメントに至る恐れがある。
訳者後書:脆弱性 CVE-2026-1995 により、高い権限で動作するサービスと、誰でも書き込みができるフォルダ設定の組み合わせが可能になっています。Windows で動作する “id_service.exe” というプログラムは、特定のフォルダ内にあるファイルを読み取り、新しいプロセスを開始する仕組みになっていますが、そのフォルダのアクセス権限 (パーミッション) 設定が適切ではありませんでした。その結果として、本来は操作できないはずの一般ユーザーが、当該フォルダの中身を書き換え、悪意のプログラムを実行させることが可能になっています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.