IDrive Cloud Backup Client for Windows には権限昇格の脆弱性が存在します

この脆弱性は、ローカルの標準ユーザーがC:\ProgramData\IDrive\ディレクトリ内のUTF16-LEエンコードされたファイルを編集することで悪用されます。これらのファイルの内容は、IDriveのidservice.exeプロセスによって実行ファイルのパスとして使用されます。攻撃者は、これらのファイルを改ざんし、任意の実行ファイルを指定することで、idservice.exeプロセスをSYSTEM権限で実行させることができます。これにより、攻撃者はシステム全体への完全なアクセス権を取得し、機密情報の窃取、マルウェアのインストール、システムの破壊など、広範囲にわたる損害を引き起こす可能性があります。この攻撃は、特権昇格を伴うため、影響は非常に深刻です。

Organizations and individuals using IDrive Cloud Backup Client for Windows, particularly those with less stringent access controls on their systems, are at risk. Shared hosting environments where multiple users have access to the same system are especially vulnerable, as a compromised user account could be leveraged to escalate privileges and compromise the entire system.

• windows / supply-chain:

Get-Acl "C:\ProgramData\IDrive\*" | Select-Object Path, Access

• windows / supply-chain:

Get-Process -Name id_service | Select-Object Path, CommandLine

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]] and [EventData[Data[@Name='TargetObject']/text()='C:\ProgramData\IDrive\*']]">

• windows / supply-chain: Check Autoruns for suspicious entries related to id_service.exe or files in C:\ProgramData\IDrive\. • windows / supply-chain: Monitor Windows Defender for alerts related to process creation or file modification within the C:\ProgramData\IDrive\ directory.

1. 2026-03-24Disclosure

   disclosure

1. 予約済み2026-02-05
2. 公開日2026-03-24
3. 更新日2026-03-25
4. EPSS 更新日2026-04-01

この脆弱性への最も効果的な対策は、IDrive Cloud Backup Client for Windowsをバージョン7.0.0.63以降にアップデートすることです。アップデートがすぐに利用できない場合、C:\ProgramData\IDrive\ディレクトリへのアクセス権を制限することで、攻撃者がファイルを改ざんするのを防ぐことができます。具体的には、このディレクトリのアクセス権をSYSTEMアカウントとIDrive関連のサービスアカウントのみに制限します。また、WAFやIDS/IPSなどのセキュリティ対策を導入し、不審なプロセス起動を監視することも有効です。アップデート後、id_service.exeプロセスが正常に動作しているか、およびファイル改ざんの兆候がないかを確認してください。