В сфере облачных технологий безопасность инструментов для резервного копирования является критически важной, поскольку они часто имеют глубокий доступ к данным и системе. Обнаружение новой уязвимости в популярном клиенте IDrive для Windows служит тревожным напоминанием о том, что даже доверенное программное обеспечение для защиты данных может стать вектором для атаки. Эта проблема затрагивает как корпоративных пользователей, полагающихся на автоматизированное резервное копирование, так и частных лиц, хранящих в облаке личную информацию.
Уязвимость CVE-2026-1995
Инцидент связан с критической уязвимостью, зарегистрированной под идентификатором CVE-2026-1995. Она была выявлена в клиенте облачного сервиса резервного копирования IDrive для операционных систем Windows. Сервис IDrive широко используется для шифрования, синхронизации и хранения данных на множестве платформ. Уязвимость позволяет локальному пользователю с низкими привилегиями повысить свои права в системе до максимального уровня, что в перспективе ведет к полному контролю над устройством. Согласно данным экспертов, проблема затрагивает настольные и серверные редакции Windows-клиента, который функционирует как интерфейс управления для облачных бэкапов.
Технический анализ показывает, что уязвимость присутствует в версиях клиента 7.0.0.63 и более ранних. Её корень кроется в механизме работы служебного процесса "id_service.exe". Данная служба работает с наивысшими привилегиями от имени учетной записи "NT AUTHORITY\SYSTEM". В ходе своей работы она регулярно читает содержимое определенных файлов, расположенных в каталоге "C:\ProgramData\IDrive", и использует прочитанные данные в кодировке UTF16-LE в качестве аргументов для запуска новых процессов. Основная ошибка заключается в слабых настройках разрешений для этой папки. По умолчанию, любой прошедший аутентификацию стандартный пользователь системы имеет право записи в данный каталог.
Эту ошибку конфигурации злоумышленник, уже имеющий учётную запись на компьютере, может использовать для эскалации привилегий. Он может либо подменить существующий файл, либо создать новый в уязвимой директории. Внутри файла он указывает путь к своему вредоносному исполняемому файлу или скрипту. Когда служба "id_service.exe" с правами SYSTEM прочитает этот файл и попытается выполнить команду, она непреднамеренно запустит код злоумышленника. Поскольку процесс работает с высочайшими привилегиями, вредоносная полезная нагрузка унаследует их сразу же после выполнения.
Успешная эксплуатация данной уязвимости предоставляет злоумышленнику практически неограниченные возможности. Повысив права от уровня обычного пользователя до системного администратора, он легко обходит стандартные средства защиты. Получив контроль, злоумышленник может похищать чувствительные данные, включая сами зашифрованные резервные копии, изменять критически важные настройки системы, отключать антивирусное программное обеспечение для скрытия своей активности, а также разворачивать в сети стойкое вредоносное программное обеспечение, в том числе программы-вымогатели. Для организации это грозит масштабной утечкой данных, финансовыми потерями и длительным простоем операционной деятельности.
На текущий момент официальный патч для устранения CVE-2026-1995 не выпущен, однако разработчик IDrive подтвердил, что обновление безопасности находится в активной разработке. Компаниям, использующим клиент IDrive для Windows, настоятельно рекомендуется внимательно следить за официальными каналами распространения обновлений и установить исправление сразу после его публикации. В качестве временной меры защиты администраторам следует вручную изменить разрешения для каталога "C:\ProgramData\IDrive", ограничив право записи в него только для учётных записей с высочайшими привилегиями. Кроме того, для мониторинга несанкционированных изменений файлов и предотвращения выполнения непроверенных скриптов целесообразно задействовать решения класса Endpoint Detection and Response (EDR, системы обнаружения и реагирования на конечных точках), а также настройки групповых политик Windows. Эти действия позволят существенно снизить риск эксплуатации уязвимости до момента получения официального исправления от вендора.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1995
- https://kb.cert.org/vuls/id/330121
- https://frsecure.com/blog/idrive-cve-2026-1995/
