#Homelab · 4 Min. Lesezeit · Tim Rinkel

ALARM! Veeam-Lücke macht JEDEN Domain-User zum Backup-Boss — jetzt 12.x patchen!

ALARM! Veeam-Lücke macht JEDEN Domain-User zum Backup-Boss — jetzt 12.x patchen!

Dein Backup-Server ist die letzte Verteidigungslinie gegen Ransomware — und genau dieser Server steht jetzt sperrangelweit offen. Veeam hat am Dienstag eine Lücke gepatcht, die es in sich hat: CVE-2026-44963, CVSS-Score 9,4 von 10. Das Fiese daran: Es braucht KEINEN Admin-Account für den Angriff.

UNGLAUBLICH: Ein simpler Domain-User reicht

Normalerweise gilt: Wer deinen Backup-Server kapern will, braucht hohe Rechte. Hier nicht. Die Lücke erlaubt es jedem niedrig privilegierten Domain-Benutzer, eigenen Code auf dem Veeam-Server auszuführen — also auch dem Praktikanten-Account, dem vergessenen Test-User oder einem Angreifer, der irgendein Mitarbeiter-Passwort gephisht hat.

Entdeckt hat das Problem der Sicherheitsforscher Sina Kheirkhah von watchTowr. Betroffen sind alle Versionen von Veeam Backup & Replication 12.3.2.4465 und älter. Die brandneue Version 13.x nutzt eine andere Architektur und ist nicht betroffen.

GEFAHR! Warum Ransomware-Banden jetzt genau hinschauen

Veeam-Lücken sind bei Erpresser-Banden heiß begehrt — aus gutem Grund: Wer den Backup-Server kontrolliert, kann erst die Sicherungen löschen und dann verschlüsseln. Genau so liefen in den letzten Jahren etliche große Ransomware-Fälle ab. Veeam selbst betont zwar, dass bislang keine aktiven Angriffe bekannt sind. Aber die Firma warnt ausdrücklich: Sobald ein Patch draußen ist, beginnen Kriminelle mit der Analyse — und bauen daraus in Tagen bis Wochen einen funktionierenden Exploit.

WICHTIG: Nur Domain-Mitglieder sind verwundbar

Eine gute Nachricht gibt es: Die Lücke greift nur, wenn dein Backup-Server Mitglied einer Active-Directory-Domäne ist. Wer Veeam — wie von der eigenen Best Practice seit Jahren empfohlen — in einer separaten Workgroup betreibt, ist von diesem konkreten Fehler nicht betroffen. Genau deshalb predigen Profis: Der Backup-Server gehört NICHT in die normale Firmen-Domäne.

So rettest du deinen Backup-Server in 5 MINUTEN

Der Fahrplan ist simpel:

  • Version prüfen: In der Veeam-Konsole unter Hilfe → Info. Alles unter 12.3.2.4854 ist verwundbar.
  • Update einspielen: Veeam liefert den Fix in Version 12.3.2.4854 aus, alle Details stehen im Knowledge-Base-Artikel KB4696.
  • Mittelfristig: Prüfe, ob dein Backup-Server wirklich in der Domäne hängen muss — eine Workgroup-Installation hätte dich hier komplett geschützt.

EXTRA-TIPP: 3-2-1 bleibt Pflicht

Diese Lücke zeigt wieder: Backups, die am selben System und in derselben Domäne hängen, sind keine echte Versicherung. Mindestens eine Kopie gehört offline oder unveränderbar (Immutable Storage, S3 Object Lock) gelagert. Wie das geht, liest du in unserem Guide zur 3-2-1-Backup-Regel.

FAZIT: Patchen, bevor es die anderen tun

Noch ist kein Exploit im Umlauf — das ist dein Zeitfenster. Wer Veeam 12.x auf einem Domain-Server fährt, sollte das Update heute Abend einplanen, nicht nächste Woche. Dein zukünftiges Ich wird es dir danken.

Häufige Fragen

Welche Versionen sind von CVE-2026-44963 betroffen?
Betroffen ist Veeam Backup & Replication 12.x bis einschließlich Build 12.3.2.4465 — allerdings nur, wenn der Backup-Server Mitglied einer Active-Directory-Domäne ist. Version 13.x basiert auf einer neuen Architektur und ist nicht verwundbar. Workgroup-Installationen sind von dieser konkreten Lücke ebenfalls nicht betroffen.
Wie merke ich, ob mein System verwundbar ist?
Öffne die Veeam-Konsole und prüfe die Versionsnummer (Hilfe → Info). Liegt sie unter 12.3.2.4854 und ist der Server in eine Domäne eingebunden, bist du verwundbar. Zusätzlich lohnt ein Blick in die Windows-Ereignisanzeige auf ungewöhnliche Anmeldungen niedrig privilegierter Konten am Backup-Server.
Wie behebe ich das Problem konkret?
Lade über den offiziellen Veeam-Knowledge-Base-Artikel KB4696 das Update auf Version 12.3.2.4854 herunter und spiele es ein. Ein Workaround ohne Patch existiert nicht offiziell — wer nicht sofort patchen kann, sollte den Zugriff auf den Backup-Server per Firewall auf Admin-Stationen einschränken.
Gab es schon aktive Angriffe?
Nach Angaben von Veeam sind bislang keine Angriffe in freier Wildbahn bekannt. Sicherheitsforscher warnen jedoch, dass Ransomware-Gruppen Veeam-Patches routinemäßig rückwärts analysieren und erfahrungsgemäß innerhalb weniger Wochen funktionierende Exploits entwickeln. Das Zeitfenster zum Patchen ist also jetzt.

Quellen: Veeam KB4696 · BleepingComputer · The Hacker News

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert