Kritische RCE-Lücke in Veeam Backup & Replication 12 – Patch sofort einspielen
CVE-2026-44963 (CVSS 9.4) in Veeam Backup & Replication v12 erlaubt jedem authentifizierten Domain-Nutzer Remote Code Execution auf Backup-Servern. Alle Builds bis 12.3.2.4465 sind betroffen – Patch seit 9. Juni 2026 verfügbar.
In Veeam Backup & Replication Version 12 klafft eine kritische Sicherheitslücke, die jeden authentifizierten Domain-Nutzer in die Lage versetzt, beliebigen Code auf dem Backup-Server auszuführen. Die Schwachstelle trägt die Kennung CVE-2026-44963 und wurde mit einem CVSS-v4-Score von 9.4 (kritisch) bewertet. Sicherheitsforscher Sina Kheirkhah vom Unternehmen watchTowr veröffentlichte die Entdeckung am 9. Juni 2026 – demselben Tag, an dem Veeam den Patch bereitstellte. Angesichts des geringen Angriffsaufwands und der hohen Bedeutung von Backup-Infrastrukturen für die Ausfallsicherheit empfiehlt sich eine sofortige Reaktion.
Die Schwachstelle im Detail
CVE-2026-44963 ist eine Remote-Code-Execution-Schwachstelle in der Backup-Komponente von Veeam Backup & Replication v12. Die Lücke liegt ausschließlich in domain-joined Installationen vor – Systeme im Workgroup-Modus sind nicht betroffen. Ein Angreifer benötigt lediglich ein reguläres Domain-Benutzerkonto mit niedrigen Rechten, um den Exploit auszulösen. Erhöhte Privilegien oder ein lokaler Zugang zum Server sind nicht erforderlich.
Veeam hat nach der Veröffentlichung ausdrücklich davor gewarnt, dass ein Reverse-Engineering des Patches eine schnelle Exploit-Entwicklung ermöglichen könnte. Die Wahrscheinlichkeit einer zeitnahen Ausnutzung in freier Wildbahn wird daher als sehr hoch eingeschätzt. Version 13.x ist durch Architekturänderungen grundsätzlich nicht anfällig.
Bin ich betroffen?
Betroffen sind alle Installationen von Veeam Backup & Replication v12 mit einem Build kleiner oder gleich 12.3.2.4465, sofern der Backup-Server Mitglied einer Windows-Domäne ist. Die folgende Tabelle fasst die Betroffenheit zusammen:
| Produkt | Version / Build | Betroffen? |
|---|---|---|
| Veeam Backup & Replication | v12, alle Builds bis 12.3.2.4465 | Ja (nur domain-joined) |
| Veeam Backup & Replication | v12, Build 12.3.2.4854 | Nein (gepatcht) |
| Veeam Backup & Replication | v13.x | Nein (Architektur nicht betroffen) |
| Veeam Backup & Replication | Workgroup-Installation (keine Domain) | Nein |
Den aktuell installierten Build lässt sich in der Veeam-Konsole unter Hilfe → Info ablesen. Administratoren, die unsicher sind, ob ihr Backup-Server in eine Domäne eingebunden ist, können dies auf dem Server selbst unter Systemeigenschaften → Computername prüfen.
Wie behebe ich das?
Der offizielle Weg ist das sofortige Update auf Veeam Backup & Replication 12.3.2.4854, das seit dem 9. Juni 2026 im Veeam-Kundenportal zum Download bereitsteht. Der Update-Prozess läuft über den integrierten Veeam-Updater oder als manueller Installer und erfordert in der Regel einen kurzen Wartungsstopp für laufende Backup-Jobs.
Als temporäre Mitigation – bis ein Wartungsfenster für das Update möglich ist – kann der Domain-Join des Backup-Servers aufgehoben und das System in den Workgroup-Modus versetzt werden. Veeam empfiehlt ohnehin generell, Backup-Server nicht in die Unternehmensdomäne einzubinden, um die Angriffsfläche dauerhaft zu reduzieren.
Wer den grundsätzlichen Umgang mit Veeam-Jobs und -Konfigurationen vertiefen möchte, findet auf s-edv.com eine Einführung: Veeam Backup & Replication: Grundlagen und erster Backup-Job. Ergänzend empfiehlt sich die Anleitung zur Backup- und Restore-Test-Routine, um sicherzustellen, dass die Recovery-Kapazitäten nach dem Update verifiziert werden.
Was bedeutet das für Unternehmen?
Backup-Server sind ein bevorzugtes Angriffsziel von Ransomware-Gruppen. Ein kompromittierter Backup-Server bedeutet im schlimmsten Fall den vollständigen Ausfall der Recovery-Kapazitäten – und damit die Unfähigkeit, nach einem Ransomware-Angriff ohne Lösegeldzahlung wiederherzustellen. CVE-2026-44963 verschärft dieses Szenario erheblich: Der Angriffsaufwand ist minimal, da jeder reguläre Domain-Account als Einstiegspunkt genügt.
Die Kombination aus niedrigem Angriffsschwellenwert, hohem CVSS-Score und dem öffentlich bekannten Patch – der nach Reverse-Engineering als Exploit-Vorlage dienen kann – macht eine schnelle Massenausnutzung sehr wahrscheinlich. Organisationen, die Veeam v12 auf domain-joined Systemen betreiben, sollten das Update mit höchster Priorität behandeln und den Patch noch vor dem nächsten regulären Wartungsfenster einspielen.
Generell empfiehlt sich eine Überprüfung der Netzwerksegmentierung: Backup-Server sollten nur von definierten Management-Systemen erreichbar sein und nicht direkt aus dem allgemeinen Unternehmensnetz angesprochen werden können. Eine Orientierung dazu bietet die Anleitung zum Ransomware-Notfallplan für die ersten 60 Minuten.
Quellen: BleepingComputer: New Veeam vulnerability exposes backup servers to RCE attacks | The Hacker News: Veeam Backup & Replication RCE Flaw | Veeam Community: CVE-2026-44963
