A Veeam divulgou hoje, 9 de junho de 2026, uma nova vulnerabilidade crítica no Veeam Backup & Replication (VBR) que permite a qualquer utilizador autenticado de um domínio Windows executar código remotamente no servidor de backup — sem necessitar de privilégios elevados. A falha, catalogada como CVE-2026-44963 com pontuação CVSS 9.4, foi descoberta pelo investigador Sina Kheirkhah da empresa watchTowr e afeta todos os builds da versão 12 até à 12.3.2.4465. A correção está disponível na versão 12.3.2.4854, que deve ser aplicada de imediato.
O que torna esta vulnerabilidade perigosa
A CVE-2026-44963 é particularmente preocupante porque o requisito de autenticação é muito baixo: basta ser um utilizador de domínio com privilégios mínimos para explorá-la. Em ambientes empresariais, isso representa um número muito elevado de contas potencialmente capazes de lançar o ataque — incluindo contas de serviço, contas de utilizadores comuns ou contas comprometidas através de phishing ou roubo de credenciais.
Existe, no entanto, uma condição de exploração relevante: a vulnerabilidade apenas afeta instalações do Veeam Backup & Replication que estejam integradas num domínio Windows (domain-joined). Servidores VBR operados em modo de grupo de trabalho (workgroup), seguindo as recomendações de segurança da própria Veeam, não são afetados. A versão 13.x do produto também não é afetada, graças a alterações arquiteturais introduzidas nessa versão.
Embora a Veeam não tenha reportado exploração ativa desta vulnerabilidade específica, a empresa alertou que os atacantes costumam iniciar o desenvolvimento de exploits assim que um patch é publicado — o que significa que o intervalo entre a correção e a disponibilização de código de exploração no mercado negro pode ser de horas ou dias.
Por que os servidores de backup são alvos prioritários
O histórico de exploração do Veeam Backup & Replication explica a urgência desta correção. Os grupos de ransomware aprenderam cedo que comprometer ou destruir os backups antes de cifrar os dados principais reduz drasticamente as opções de recuperação das vítimas — e aumenta a probabilidade de pagamento do resgate.
Em novembro de 2024, a Sophos X-Ops documentou a exploração ativa da CVE-2024-40711 — uma falha crítica anterior no VBR — pelos grupos de ransomware Akira, Fog e Frag. Anteriormente, o grupo FIN7 e o ransomware Cuba tinham também sido associados a ataques que exploraram falhas no mesmo produto. A Veeam tem mais de 550.000 clientes em todo o mundo, incluindo 82% das empresas da Fortune 500.
O que fazer agora
- Atualizar imediatamente para o Veeam Backup & Replication versão 12.3.2.4854, que resolve a CVE-2026-44963.
- Verificar a configuração de domínio: auditar se o servidor VBR está integrado num domínio Windows. A Veeam recomenda, como boa prática de segurança, operar o servidor VBR em modo workgroup isolado, fora do domínio.
- Rever o acesso ao servidor VBR: restringir quem tem acesso de rede ao servidor de backup e limitar ao mínimo as contas de domínio com visibilidade sobre ele.
- Monitorizar atividade anómala no servidor de backup: tentativas de autenticação incomuns, execução de processos inesperados ou criação de tarefas agendadas não autorizadas.
- Versão 13.x: quem já migrou para a versão 13.x não é afetado por esta vulnerabilidade específica.
Porque é que isto importa
Em Portugal, os servidores de backup são infraestruturas críticas para praticamente todas as organizações — públicas e privadas. O Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da NIS2) estabelece obrigações explícitas de gestão de vulnerabilidades e de proteção de sistemas de informação críticos para as cerca de seis mil entidades abrangidas. Deixar um servidor de backup VBR sem patch numa rede de domínio representa um risco concreto de compromisso total da infraestrutura de recuperação de dados — precisamente o ativo que garante a continuidade de negócio em caso de ataque de ransomware.
A janela de tempo entre a publicação de um patch e a disponibilização de exploits funcionais tem vindo a diminuir. Neste caso específico, a Veeam já emitiu o alerta — o que equivale a um sinal de largada para os atacantes começarem a trabalhar. As organizações que ainda não aplicaram a correção devem considerá-la prioritária.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Veeam Software, pela Bleeping Computer e pelo The Hacker News.