### Ausnutzung von CVE-2026-35616 Laut **Arctic Wolf** missbraucht die im Mai 2026 entdeckte Kampagne den **FortiClient** EMS durch Ausnutzung von **CVE-2026-35616** (CVSS-Score: 9.1). Dieser kritische Pre-Authentication API-Zugriffsbypass ermöglicht eine Rechteausweitung. **Fortinet** hat die Schwachstelle in **FortiClient** EMS 7.4.7 und späteren Versionen behoben. Organisationen, die ältere Versionen verwenden, werden dringend aufgefordert, sofort ein Upgrade durchzuführen. ### Analyse der Angriffskette Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Konfigurationen zu ändern, Erinnerungen an Firmware-Upgrades zu verzögern und Einstellungen für Remote-Zugriffsprofile anzupassen. Dies ermöglicht die Injektion von bösartigen Skripten, die zur Ausführung auf Endpunktgeräten bestimmt sind. Die Angreifer nutzen effektiv den eigenen Managementpfad von **FortiClient**, um bösartige **PowerShell**-Befehle zu pushen, die legitime administrative Operationen nachahmen.  ### Getarnte Malware: FortiEndpoint_Patch.exe Der Angriff nutzt "fortitray.exe", eine legitime **FortiClient**-Executable, um über "cmd.exe" ein .cmd-Skript zu starten. Dieses Skript führt dann ein Base64-codiertes **PowerShell**-Skript aus, das für den Download und die Ausführung des bösartigen Payloads sowie für die Exfiltration gestohlener Daten über HTTP POST-Anfragen an "83.138.53[.]110" verantwortlich ist. Der Payload mit dem Namen "FortiEndpoint_Patch.exe" ist ein bisher undokumentierter Windows-Informationsdieb. Er sammelt sensible Daten aus Chromium- und Gecko-basierten Browsern, einschließlich Passwörtern, Cookies, Autovervollständigungsdaten (Kreditkarteninformationen, Adressen und Telefonnummern) und speichert diese in einer Protokolldatei im ProgramData-Verzeichnis. Das **PowerShell**-Skript überträgt diese Daten dann an die vom Angreifer kontrollierte Infrastruktur. ### Auswirkungen und Abhilfemaßnahmen **Arctic Wolf** betont, dass Bedrohungsakteure durch Umgehung der API-Authentifizierung Managementkonfigurationen ändern und bösartige Skripte auf verwalteten Endpunkten ausführen können. Gestohlene Sitzungscookies und gespeicherte Browser-Anmeldedaten können Angreifern den Zugriff auf Cloud-Dienste, interne Anwendungen und andere authentifizierte Ressourcen ermöglichen und potenziell Multi-Faktor-Authentifizierung (MFA) umgehen. Organisationen wird geraten: * **FortiClient** EMS sofort auf Version 7.4.7 oder höher aktualisieren. * **FortiClient** EMS-Protokolle auf verdächtige Aktivitäten überwachen. * Starke Zugriffskontrollen implementieren und Konfigurationen regelmäßig überprüfen. * Benutzer über die Risiken der Ausführung unerwarteter oder unerbetener Software-Updates aufklären.