Шившанкар Менон
В Windows-клиенте сервиса резервного копирования IDrive обнаружили критическую уязвимость, которая позволяет локальному пользователю с минимальными правами получить полный контроль над системой. Проблема получила идентификатор CVE-2026-1995.
Обычный аутентифицированный пользователь может подложить вредоносный файл туда, откуда его потом подхватит системный процесс IDrive и запустит уже с правами NT AUTHORITY\SYSTEM. А это, по сути, максимальный уровень привилегий в Windows.
Уязвимость затрагивает версии клиента 7.0.0.63 и ниже. Как сообщается, слабое место находится в процессе id_service.exe, который работает в фоне с повышенными правами. Этот сервис читает файлы из каталога C:\ProgramData\IDrive и использует их содержимое как аргументы для запуска новых процессов.
Проблема в том, что права доступа к этой папке настроены слишком слабо: записывать туда может и обычный пользователь. Атакующий может подменить существующий файл или добавить новый, указав путь к вредоносному скрипту или исполняемому файлу. После этого системный сервис сам запустит этот пейлоад с правами SYSTEM.
Иными словами, для злоумышленника это удобный способ быстро перепрыгнуть с низкого уровня доступа на самый высокий. После такого повышения привилегий можно уже делать почти что угодно: отключать защиту, менять системные настройки, закрепляться в системе, запускать зловред или шифровальщик, а также добираться до чувствительных данных.
На момент публикации готового патча для CVE-2026-1995 ещё нет, но в IDrive, как сообщается, уже работают над патчем.
Пока исправление не вышло, администраторам советуют вручную ограничить права на каталог C:\ProgramData\IDrive, оставив возможность записи только привилегированным учётным записям. Дополнительно рекомендуется следить за изменениями файлов в этой директории с помощью EDR и по возможности блокировать запуск недоверенных скриптов через групповые политики.
