Khẩn cấp: Lỗ hổng leo thang đặc quyền cục bộ IDrive Client

Một lỗ hổng leo thang đặc quyền cục bộ nghiêm trọng đã được phát hiện trong phần mềm IDrive Cloud Backup Client dành cho Windows. Lỗ hổng này cho phép kẻ tấn công cục bộ, đã xác thực, thực thi mã độc với các đặc quyền cao nhất trên hệ thống mục tiêu. Đây là một rủi ro bảo mật đáng kể, đặc biệt trong các môi trường chia sẻ hoặc khi kẻ tấn công đã có quyền truy cập ban đầu.

Tổng quan về Lỗ hổng CVE-2026-1995

Lỗ hổng này được định danh là CVE-2026-1995, ảnh hưởng đến IDrive Cloud Backup Client cho Windows, cụ thể là các phiên bản 7.0.0.63 và cũ hơn.

Các nhà nghiên cứu bảo mật tại FRSecure đã phát hiện ra rằng cấu hình quyền yếu trong thư mục của ứng dụng có thể nhanh chóng dẫn đến việc kiểm soát hoàn toàn hệ thống thông qua một lỗ hổng leo thang đặc quyền cục bộ.

Khi được khai thác thành công, lỗ hổng leo thang đặc quyền cục bộ này cho phép kẻ tấn công đã xác thực thực thi mã độc trong ngữ cảnh NT AUTHORITY\SYSTEM có đặc quyền cao.

Nguyên nhân gốc rễ của lỗ hổng leo thang đặc quyền

Nguyên nhân gốc rễ của lỗ hổng leo thang đặc quyền cục bộ này nằm ở cơ chế hoạt động của tiện ích client IDrive Windows, đặc biệt là tiến trình id_service.exe.

Tiện ích này quản lý các bản sao lưu đám mây và chạy liên tục trong nền với các đặc quyền hệ thống rất cao, cụ thể là quyền NT AUTHORITY\SYSTEM. Đây là tài khoản dịch vụ cục bộ mạnh nhất, có quyền truy cập gần như không giới hạn vào toàn bộ hệ điều hành.

Trong quá trình hoạt động bình thường, dịch vụ định kỳ đọc từ một số tệp cấu hình được lưu trữ trong thư mục C:\ProgramData\IDrive.

Dịch vụ sử dụng nội dung được mã hóa UTF-16 LE của các tệp này làm đối số trực tiếp khi khởi chạy các tiến trình mới trên máy.

Do phần mềm áp dụng các quyền truy cập yếu một cách cố hữu cho thư mục này, bất kỳ người dùng tiêu chuẩn nào đã đăng nhập vào hệ thống Windows đều có thể sửa đổi các tệp quan trọng này, tạo điều kiện cho lỗ hổng leo thang đặc quyền cục bộ.

Kịch bản khai thác lỗ hổng leo thang đặc quyền cục bộ

Một kẻ tấn công đã xác thực với các đặc quyền cấp thấp có thể ghi đè lên một tệp hiện có hoặc tạo một tệp mới.

Kẻ tấn công sẽ chèn một đường dẫn tệp cụ thể trỏ đến một script hoặc tệp thực thi độc hại. Khi dịch vụ sao lưu cuối cùng đọc tệp đã sửa đổi này, nó sẽ vô tình thực thi payload của kẻ tấn công với các quyền tối đa của chính nó.

Điều này bao gồm quyền NT AUTHORITY\SYSTEM, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống mục tiêu thông qua lỗ hổng leo thang đặc quyền cục bộ.

Ví dụ về cách kẻ tấn công có thể sửa đổi một tệp cấu hình, giả định tệp đó được đọc để khởi chạy một tiến trình (đây là ví dụ minh họa và không phải lệnh CLI thực tế từ nguồn):

# Kẻ tấn công ghi nội dung độc hại vào tệp cấu hình# Đây là minh họa, không phải lệnh thực tế từ nguồnSet-Content -Path "C:\ProgramData\IDrive\config.ini" -Value "C:\Users\Public\payload.exe" -Encoding UTF8

Bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ này, kẻ tấn công có thể vượt qua các rào cản bảo mật tiêu chuẩn của Windows và ngay lập tức nâng cấp quyền truy cập của họ từ một tài khoản người dùng hạn chế lên một tài khoản quản trị viên đầy đủ đặc quyền.

Tác động và Hậu quả của việc chiếm quyền kiểm soát hệ thống

Một khi kẻ tấn công đã thành công giành được quyền truy cập cấp cao nhất, chúng sẽ thiết lập quyền kiểm soát hoàn toàn đối với máy bị xâm nhập. Quyền kiểm soát này mang lại những hậu quả nghiêm trọng:

• Triển khai mã độc tinh vi: Kẻ tấn công có thể cài đặt ransomware, spyware, hoặc các loại mã độc khác mà không bị phát hiện.
• Trích xuất dữ liệu nhạy cảm: Truy cập và đánh cắp các tệp tin, cơ sở dữ liệu và thông tin cá nhân hoặc doanh nghiệp quan trọng.
• Thay đổi cấu hình hệ thống cốt lõi: Sửa đổi các cài đặt hệ điều hành, tạo người dùng mới, hoặc thay đổi các chính sách bảo mật để duy trì quyền truy cập.
• Tắt các giải pháp bảo mật endpoint đã cài đặt: Vô hiệu hóa phần mềm chống virus, EDR (Endpoint Detection and Response), hoặc các công cụ bảo mật khác để tránh bị phát hiện và cản trở việc khắc phục.

Mặc dù kẻ tấn công phải có quyền truy cập cục bộ vào máy mục tiêu để kích hoạt khai thác, lỗ hổng leo thang đặc quyền cục bộ này vẫn tiềm ẩn một rủi ro bảo mật đáng kể.

Nó đặc biệt nguy hiểm đối với các môi trường máy tính chia sẻ hoặc trong chuỗi tấn công hoạt động, nơi kẻ đe dọa đã giành được chỗ đứng ban đầu với đặc quyền thấp và đang tìm cách nâng cao quyền của họ để di chuyển ngang qua mạng.

Biện pháp giảm thiểu và Khuyến nghị An ninh Mạng

Tại thời điểm công bố, nhà cung cấp vẫn đang tích cực phát triển một bản vá bảo mật chính thức cho lỗ hổng này. Cho đến khi IDrive triển khai bản sửa lỗi chính thức, các đội ngũ bảo mật phải dựa vào các biện pháp khắc phục thủ công để bảo vệ các endpoint của doanh nghiệp.

Các quản trị viên nên tuân theo hướng dẫn của CERT Coordination Center và ngay lập tức hạn chế quyền ghi cho tất cả người dùng tiêu chuẩn trong thư mục bị ảnh hưởng. Thông tin chi tiết có thể được tìm thấy tại: CERT Coordination Center – VU#330121.

Các bước cụ thể để hạn chế quyền truy cập vào thư mục C:\ProgramData\IDrive nhằm ngăn chặn khai thác lỗ hổng leo thang đặc quyền cục bộ bao gồm:

1. Mở Command Prompt với quyền quản trị hoặc PowerShell.
2. Điều hướng đến thư mục cha của IDrive:

   cd C:\ProgramData

3. Sử dụng lệnh icacls để sửa đổi quyền. Ví dụ, để loại bỏ quyền ghi cho nhóm “Users” (người dùng tiêu chuẩn):

   icacls IDrive /remove "Users:(OI)(CI)W" /T

   • /remove: Xóa các quyền đã chỉ định.
   • "Users:(OI)(CI)W": Chỉ định nhóm “Users” và quyền ghi (W) cho các đối tượng và vùng chứa (OI = Object Inherit, CI = Container Inherit).
   • /T: Áp dụng thay đổi cho tất cả các thư mục con và tệp.

   Kiểm tra và xác nhận các quyền hiện tại sau khi thay đổi:

   icacls C:\ProgramData\IDrive

Hơn nữa, các tổ chức được khuyến nghị mạnh mẽ nên tận dụng các giải pháp phát hiện endpoint (EDR) và các chính sách nhóm (Group Policies) để chủ động giám sát các sửa đổi tệp không được ủy quyền.

Các đội ngũ bảo mật nên đặc biệt tìm kiếm các tiến trình con đáng ngờ được tạo ra từ tệp thực thi dịch vụ chính (id_service.exe).

Các quản trị viên hệ thống nên liên tục theo dõi các kênh phát hành chính thức của nhà cung cấp và áp dụng các bản cập nhật phần mềm ngay khi chúng có sẵn để đảm bảo an ninh mạng.