Descoberta e escopo
Uma vulnerabilidade crítica de elevação de privilégio local foi identificada no Cliente de Backup em Nuvem IDrive para Windows. Rastreada como CVE-2026-1995, esta vulnerabilidade de elevação de privilégio local afeta o Cliente de Backup em Nuvem IDrive para Windows, especificamente nas versões 7.0.0.63 e anteriores.
Pesquisadores de segurança da FRSecure descobriram que configurações de permissão fracas dentro do diretório do aplicativo poderiam levar rapidamente a uma violação completa do sistema. Quando explorada com sucesso, a falha permite que um atacante autenticado execute código malicioso no contexto altamente privilegiado NT AUTHORITY\SYSTEM.
No momento da divulgação, o vendor ainda estava desenvolvendo ativamente um patch oficial para esta falha de segurança.
O que mudou agora
A vulnerabilidade está enraizada nas mecânicas operacionais da utilidade cliente Windows IDrive, especificamente no processo id_service.exe. Esta utilidade gerencia backups em nuvem e executa continuamente em segundo plano com privilégios de sistema altamente elevados.
Durante as operações normais, o serviço lê rotineiramente vários arquivos de configuração armazenados dentro do diretório C:\ProgramData\IDrive. O serviço usa o conteúdo codificado UTF-16 LE desses arquivos como argumentos diretos ao lançar novos processos na máquina.
Como o software aplica permissões inerentemente fracas a este diretório, qualquer usuário padrão logado no sistema Windows pode modificar esses arquivos críticos. Um atacante autenticado com privilégios de baixo nível pode sobrescrever um arquivo existente ou criar um novo, inserindo um caminho de arquivo específico que aponta para um script ou executável malicioso.
Impacto e alcance
Quando o serviço de backup eventualmente lê este arquivo modificado, ele executa inconscientemente o payload do atacante com seus próprios privilégios de nível máximo. Ao explorar esta vulnerabilidade, um atacante pode contornar os limites de segurança padrão do Windows e instantaneamente elevar seu acesso de uma conta de usuário limitada para uma conta de administrador totalmente privilegiada.
Uma vez que um atacante ganha acesso de nível superior com sucesso, eles estabelecem controle completo sobre a máquina comprometida. Este acesso permite que agentes de ameaça implantem malware sofisticado, extraiam dados altamente sensíveis, alterem configurações de sistema core e desliguem soluções de segurança de endpoint instaladas.
Medidas de mitigação recomendadas
Até que o IDrive implemente a correção oficial, equipes de segurança devem confiar em workarounds manuais para proteger seus endpoints empresariais. Administradores devem seguir as orientações do CERT Coordination Center e restringir imediatamente as permissões de gravação para todos os usuários padrão dentro do diretório afetado.
Além disso, as organizações são fortemente aconselhadas a aproveitar soluções de detecção de endpoint e políticas de grupo para monitorar modificações não autorizadas de arquivos ativamente. Equipes de segurança devem procurar especificamente processos filhos suspeitos gerados a partir do executável do serviço principal.
O que os CISOs devem fazer imediatamente
Administradores de sistema devem monitorar canais de lançamento oficiais e aplicar atualizações de software assim que estiverem disponíveis. A restrição de permissões no diretório C:\ProgramData\IDrive é a mitigação imediata mais crítica até que o patch seja liberado.
Perguntas frequentes
Esta vulnerabilidade afeta apenas usuários locais? Embora o atacante já deva ter acesso local à máquina alvo para acionar a exploração, esta vulnerabilidade ainda representa um risco de segurança significativo, especialmente em ambientes de computação compartilhada.
Qual é o risco para o Brasil? Empresas brasileiras que utilizam IDrive para backup em nuvem devem aplicar restrições de permissão imediatamente para evitar elevação de privilégios em servidores Windows.