IDrive for Windows 漏洞可致攻击者提升权限

IDrive Cloud Backup Client for Windows 中发现了一个关键的本地权限提升漏洞。

该漏洞被追踪为 CVE-2026-1995，影响 IDrive Cloud Backup Client for Windows，具体涉及 7.0.0.63 及更早版本。

FRSecure 的安全研究人员发现，该应用程序目录内的弱权限配置可能导致系统迅速完全受损。

若成功利用，该漏洞允许已认证攻击者在拥有高权限的 NT AUTHORITY\SYSTEM 上下文中执行恶意代码。

在漏洞披露时，供应商仍在积极开发针对此安全漏洞的官方补丁。

IDrive for Windows 漏洞
该漏洞根植于 IDrive Windows 客户端工具（具体是 id_service.exe 进程）的运行机制。该工具负责管理云备份，并以高系统权限在后台持续运行。

在正常操作期间，该服务会例行读取存储在 C:\ProgramData\IDrive 目录中的多个配置文件。该服务在启动新进程时，会将这些文件的 UTF-16 LE 编码内容直接用作参数。

由于该软件对该目录应用了固有的弱权限，任何登录到 Windows 系统的标准用户都可以修改这些关键文件。

具有低权限的已认证攻击者可以覆盖现有文件或创建新文件，插入指向恶意脚本或可执行文件的特定文件路径。

当备份服务最终读取此修改后的文件时，它会在不知情的情况下以其自身的最高权限执行攻击者的载荷。

通过利用此漏洞，攻击者可以绕过标准的 Windows 安全边界，立即将其访问权限从受限用户账户提升到完全权限的管理员账户。

一旦攻击者成功获得最高级别的访问权限，他们便完全控制了受损机器。

这种访问权限使威胁行为者能够部署复杂的恶意软件、提取高度敏感的数据、更改核心系统配置，并关闭已部署的端点安全解决方案。

虽然攻击者必须已经拥有对目标机器的本地访问权限才能触发漏洞，但此漏洞仍然构成重大的安全风险。

在共享计算环境或活跃的攻击链中，威胁行为者已获得初始的低权限立足点并寻求提升权限以在网络中横向移动时，此漏洞尤其危险。

缓解措施
在 IDrive 部署官方修复程序之前，安全团队必须依赖手动解决方法以保护企业端点。

管理员应遵循 CERT 协调中心的指导，立即限制受影响目录内所有标准用户的写入权限。

此外，强烈建议各组织利用端点检测解决方案和组策略，主动监控未经授权的文件修改。

安全团队应特别关注从主服务可执行文件衍生的可疑子进程。系统管理员应持续监控官方发布渠道，并在软件更新可用后立即应用。