Kritische RCE-Lücke in Veeam Backup & Replication 12 – Domain-User kann Backup-Server übernehmen
Veeam hat am 9. Juni 2026 einen kritischen Sicherheitspatch für Backup & Replication v12 veröffentlicht. CVE-2026-44963 erlaubt jedem authentifizierten Windows-Domain-Nutzer mit niedrigen Rechten, über das Netzwerk Code auf dem Backup-Server auszuführen. CVSS-Score 9.4 – sofortiger Handlungsbedarf.
Veeam hat am 9. Juni 2026 einen Notfall-Patch für Backup & Replication veröffentlicht. Die Schwachstelle CVE-2026-44963 erreicht einen CVSS-v4-Score von 9.4 und gilt damit als kritisch. Besonders brisant: Ein Angreifer benötigt lediglich ein normales Windows-Domain-Konto mit niedrigen Rechten, um über das Netzwerk beliebigen Code auf dem Backup-Server auszuführen – ohne physischen Zugang und ohne Administrative Privilegien. Betroffen sind alle Veeam-Backup-&-Replication-v12-Installationen bis einschließlich Build 12.3.2.4465.
Die Schwachstelle im Detail
CVE-2026-44963 ist eine Remote-Code-Execution-Schwachstelle (RCE) im Veeam-Backup-&-Replication-Dienst. Der Angriffsvektor liegt im Netzwerk, die Angriffskomplexität ist gering. Entscheidend: Als Voraussetzung genügt ein authentifizierter Domain-Nutzer mit niedrigsten Rechten – ein Angreifer, der sich bereits im Windows-Active-Directory befindet oder einen einzelnen Domain-Account kompromittiert hat, kann die Schwachstelle ausnutzen.
Veeam weist in der Sicherheitsmeldung ausdrücklich darauf hin, dass Angreifer erfahrungsgemäß unmittelbar nach der Patch-Veröffentlichung mit der Entwicklung von Exploits beginnen. Zum Zeitpunkt der Veröffentlichung war keine aktive Ausnutzung in freier Wildbahn bekannt.
| Merkmal | Detail |
|---|---|
| CVE-ID | CVE-2026-44963 |
| CVSS v4 | 9.4 – kritisch |
| Angriffsvektor | Netzwerk (kein physischer Zugang nötig) |
| Erforderliche Rechte | Authentifizierter Domain-Nutzer (Low Privileges) |
| Auswirkung | Remote Code Execution auf dem Backup-Server |
| Patch | Build 12.3.2.4854 (KB4696, 9. Juni 2026) |
Bin ich betroffen?
Betroffen sind alle Installationen von Veeam Backup & Replication v12, die einen Build bis einschließlich 12.3.2.4465 verwenden und deren Backup-Server Mitglied einer Windows-Domain ist. Version 13.x ist durch Architekturänderungen nicht betroffen.
Die installierte Build-Nummer lässt sich in der Veeam-Konsole unter Hilfe → Info ablesen. Wer einen Build kleiner als 12.3.2.4854 sieht und dessen Backup-Server in der Windows-Domain hängt, ist dringend zum Handeln aufgefordert.
Veeam empfiehlt seit Jahren, Backup-Server grundsätzlich nicht in die Windows-Domain aufzunehmen – ein Rat, den viele Unternehmen bislang ignoriert haben. Genau diese Konfiguration macht die Schwachstelle nun besonders gefährlich.
Wie behebe ich das?
Der primäre Fix ist das sofortige Update auf Veeam Backup & Replication 12.3.2.4854, das im Veeam-Knowledgebase-Artikel KB4696 beschrieben ist. Das Update ist über das Veeam-Download-Portal sowie über den integrierten Update-Mechanismus in der Konsole verfügbar.
- Veeam-Konsole öffnen und unter Menü → Hilfe → Auf Updates prüfen den Updatestatus abrufen.
- Alternativ das ISO oder das Upgrade-Paket direkt über das Veeam-Kundenportal herunterladen (KB4696).
- Vor dem Update eine Sicherung der Veeam-Konfigurationsdatenbank empfohlen (Menü → Konfiguration exportieren).
- Nach dem Update Build-Nummer unter Hilfe → Info auf
12.3.2.4854oder höher verifizieren.
Langfristige Maßnahme: Den Backup-Server aus der Windows-Domain herausnehmen und als Workgroup-System betreiben. Das eliminiert diese und ähnliche Domain-basierte Angriffsvektoren strukturell. Wie regelmäßige Backup-Tests und eine saubere Wiederherstellungsroutine aussehen sollten, erläutert die Anleitung Backup- und Restore-Tests systematisch etablieren auf s-edv.com. Grundlagen zu Veeam-Jobs sind in der Anleitung Veeam Backup & Replication – Grundlagen und erster Job zusammengefasst.
Was bedeutet das für Unternehmen?
Der Backup-Server nimmt in einer IT-Infrastruktur eine Sonderrolle ein: Er verfügt im Regelfall über privilegierten Zugriff auf alle gesicherten Systeme, Datenbanken und Produktivdaten. Wird er kompromittiert, verliert ein Unternehmen nicht nur seine Sicherungskopien – ein Angreifer erhält potenziell vollständige Kontrolle über die gesamte Umgebung.
Ransomware-Gruppen haben Backup-Server seit Jahren gezielt im Visier, weil deren Kompromittierung eine Wiederherstellung nach einem Angriff verhindert oder erschwert. Eine RCE-Lücke mit diesem Berechtigungsniveau – ein einzelner Domain-Account reicht aus – stellt daher ein außergewöhnliches Risiko dar.
Veeam zählt nach eigenen Angaben über 550.000 Kunden weltweit; 82 Prozent der Fortune-500-Unternehmen setzen auf Veeam-Produkte. Die Verbreitung der Software macht CVE-2026-44963 zu einem attraktiven Ziel für organisierte Angreifer. Erfahrungsgemäß erscheinen öffentliche Proof-of-Concept-Exploits für Veeam-Schwachstellen innerhalb weniger Tage nach Patch-Veröffentlichung.
IT-Verantwortliche sollten das Update noch heute einplanen und nicht auf das nächste reguläre Wartungsfenster warten. Ergänzend empfiehlt sich eine Überprüfung, ob der Backup-Server tatsächlich Domain-Mitglied ist, und – sofern möglich – die schrittweise Migration auf eine Workgroup-Konfiguration. Für Windows-Server-Umgebungen bietet die Anleitung Windows-Updates mit WSUS und Update for Business steuern hilfreiche Hinweise zur strukturierten Patch-Verwaltung.
