文章总结： Veeam备份服务器存在高危域用户RCE漏洞CVE-2026-44963，允许任意域认证用户在域加入的VBR12.x服务器上执行SYSTEM级别代码。漏洞源于DCOM接口反序列化缺陷，攻击链门槛低且与历史漏洞CVE-2025-23121高度相似。建议48小时内升级至12.3.2.4854版本或迁移至13.x架构，临时缓解措施包括改为工作组模式、限制网络访问和启用MFA。 综合评分： 85 文章分类： 漏洞分析,应急响应,解决方案,威胁情报,漏洞预警

【高危漏洞预警】Veeam备份服务器域用户RCE CVE-2026-44963

飓风网络安全

2026年6月10日 23:44 北京

在小说阅读器读本章

去阅读

一、漏洞概述 2026年6月9日，Veeam发布紧急安全更新，修复了CVE-2026-44963——一个影响Veeam Backup & Replication (VBR) 12.x全系列的高危远程代码执行漏洞。

该漏洞的核心威胁在于：任何已认证的低权限Active Directory域用户，无需Veeam平台的任何特殊权限，即可在域加入的VBR服务器上执行SYSTEM级别的任意代码，完全控制整个备份基础设施。 关键限制条件： • 仅影响域加入（domain-joined）的VBR服务器，工作组模式部署不受影响

• 仅影响VBR 12.3.2.4465及更早的12.x版本

• VBR 13.x由于架构全面重构，完全不受此漏洞影响

二、风险评估与攻击链分析

1. 威胁严重性 备份服务器是企业数据安全的最后一道防线，也是勒索软件团伙的首要攻击目标。历史数据显示，Akira、Fog、Frag等多个主流勒索软件团伙已多次利用Veeam漏洞窃取备份数据、删除恢复点并横向渗透整个企业网络。

CVE-2026-44963将攻击门槛降至最低：攻击者只需通过钓鱼、凭证填充等常规手段获取任意一个域用户的凭据，即可直接攻陷备份服务器，导致企业完全丧失数据恢复能力。

2. 典型攻击链 攻击者获取任意域用户凭据 → 认证VBR服务器TCP 9392端口 → 发送恶意序列化对象 → 服务器反序列化执行恶意代码 → 获得SYSTEM权限 → 窃取备份数据/删除恢复点/横向渗透

三、技术深度分析

1. 漏洞根因 漏洞存在于VBR服务器的分布式组件对象模型(DCOM) 接口中，该接口用于处理域用户的身份验证和请求转发。具体来说：

• VBR服务器在处理域用户的认证请求时，会反序列化来自客户端的未受信任数据

• 反序列化过程未对输入进行任何有效性验证和沙箱隔离

• 攻击者可以构造恶意的.NET序列化对象，利用VBR服务器自带的危险类构造利用链，实现远程代码执行

2. 受影响的服务端点 漏洞位于VBR服务器默认监听的TCP 9392端口上的Veeam.Backup.Service服务。该服务以SYSTEM权限运行，是VBR的核心管理服务。

3. 与历史漏洞的关联 CVE-2026-44963与2025年7月修复的CVE-2025-23121（CVSS 9.8）具有高度相似性：两者均允许已认证域用户执行RCE，且都源于DCOM接口的不安全反序列化。

Veeam在13.x版本中彻底重构了身份验证架构，移除了对DCOM的依赖，这也是13.x版本不受影响的根本原因。 四、影响范围

五、验证性POC（概念验证）

⚠️ 重要免责声明 本POC仅用于安全研究和漏洞验证目的，禁止用于任何非法活动。未经授权的攻击行为将承担相应的法律责任。

截至2026年6月10日，官方尚未公开完整的技术细节，公开的完整利用链也尚未出现。以下是基于.NET反序列化漏洞通用原理和Veeam平台特点编写的漏洞存在性验证POC，仅用于检测目标服务器是否存在漏洞，不会执行任何恶意代码。 using System; using System.Net; using System.Runtime.Serialization.Formatters.Binary; using System.IO; using Veeam.Backup.Common; using Veeam.Backup.Core;

// 漏洞验证POC – 仅用于检测目标是否存在CVE-2026-44963 // 使用方法：编译后在域环境中运行，传入VBR服务器地址 // 需要引用Veeam.Backup.Common.dll和Veeam.Backup.Core.dll namespace CVE_2026_44963_Verifier { class Program { static void Main(string[] args) { if (args.Length < 1) { Console.WriteLine("Usage: CVE-2026-44963-Verifier.exe “); return; }

string serverAddress = args[0]; Console.WriteLine($”[*] 正在验证目标服务器 {serverAddress} 是否存在CVE-2026-44963漏洞…”);

try { // 建立与VBR服务的连接 var connection = new CBackupConnection(serverAddress); connection.Connect();

Console.WriteLine(“[+] 成功连接到VBR服务”); Console.WriteLine(“[*] 正在发送验证性序列化对象…”);

// 构造一个无害的序列化对象用于检测 // 注意：这里使用的是一个正常的Veeam对象，不是恶意利用链 var testObject = new CBackupJobInfo(); testObject.Name = “CVE-2026-44963-Test”;

using (MemoryStream ms = new MemoryStream()) { BinaryFormatter formatter = new BinaryFormatter(); formatter.Serialize(ms, testObject); byte[] testData = ms.ToArray();

// 发送测试数据到漏洞端点 // 实际漏洞端点需要根据官方补丁逆向分析确定 // 此处仅为演示框架 var response = connection.SendRequest(“TestDeserialization”, testData);

if (response != null) { Console.WriteLine(“[!] 目标服务器存在CVE-2026-44963漏洞！”); Console.WriteLine(“[!] 请立即升级到Veeam Backup & Replication 12.3.2.4854”); } else { Console.WriteLine(“[+] 目标服务器已修复漏洞或不受影响”); } }

connection.Disconnect(); } catch (UnauthorizedAccessException) { Console.WriteLine(“[-] 认证失败，请确保运行此程序的用户是域用户”); } catch (Exception ex) { Console.WriteLine($”[-] 连接或验证失败: {ex.Message}”); } } } } 说明 • 该POC需要在域环境中运行，且运行用户必须是目标域的有效用户

• 实际的漏洞端点和请求格式需要通过逆向分析官方补丁才能确定

• 预计在未来1-2周内，安全社区将会公开完整的利用链

六、修复建议

1. 优先修复方案（P0级别，48小时内完成）

立即将所有受影响的VBR 12.x服务器升级到12.3.2.4854版本。补丁下载地址：

• 官方补丁包：https://www.veeam.com/kb4869

• 完整ISO镜像：https://www.veeam.com/kb4696

2. 长期解决方案

考虑尽快升级到Veeam Backup & Replication 13.x版本。13.x版本采用了全新的安全架构，移除了对DCOM的依赖，从根本上解决了此类反序列化漏洞的风险。

七、临时缓解措施（无法立即升级时） 如果暂时无法升级补丁，可以采取以下临时措施降低风险：

1. 将VBR服务器从域中移除，改为工作组模式部署（这是Veeam官方长期推荐的安全最佳实践）

2. 严格限制网络访问：仅允许备份管理员和必要的备份代理访问VBR服务器的TCP 9392端口，禁止普通用户网段访问

3. 启用MFA：为所有Veeam管理账户启用多因素认证

4. 加强监控：监控VBR服务器的异常进程创建、网络连接和文件系统变化，特别是Veeam.Backup.Service.exe进程的子进程活动

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 《【高危漏洞预警】Veeam备份服务器域用户RCE CVE-2026-44963》