### Exploitation de CVE-2026-35616 Selon **Arctic Wolf**, la campagne, détectée en mai 2026, abuse de **FortiClient** EMS en exploitant **CVE-2026-35616** (score CVSS : 9.1). Ce contournement critique de l'API pré-authentification permet une escalade de privilèges. **Fortinet** a corrigé la vulnérabilité dans **FortiClient** EMS 7.4.7 et les versions ultérieures. Les organisations utilisant des versions plus anciennes sont invitées à mettre à jour immédiatement. ### Analyse de la chaîne d'attaque L'exploitation réussie permet aux attaquants de modifier les configurations, de différer les rappels de mise à niveau du firmware et de modifier les paramètres du profil d'accès à distance. Cela permet l'injection de scripts malveillants conçus pour être exécutés sur les appareils terminaux. Les attaquants utilisent efficacement le propre chemin de gestion de **FortiClient** pour pousser des commandes **PowerShell** malveillantes, imitant des opérations administratives légitimes.  ### Malware déguisé : FortiEndpoint_Patch.exe L'attaque utilise "fortitray.exe", un exécutable légitime de **FortiClient**, pour lancer un script .cmd via "cmd.exe". Ce script exécute ensuite un script **PowerShell** encodé en Base64 responsable du téléchargement et de l'exécution de la charge utile malveillante, et de l'exfiltration des données volées vers "83.138.53[.]110" via des requêtes HTTP POST. La charge utile, nommée "FortiEndpoint_Patch.exe", est un voleur d'informations Windows jusqu'alors non documenté. Il récolte des données sensibles des navigateurs basés sur Chromium et Gecko, y compris les mots de passe, les cookies, les données de remplissage automatique (informations de carte de crédit, adresses et numéros de téléphone), et les enregistre dans un fichier journal dans le répertoire ProgramData. Le script **PowerShell** transmet ensuite ces données à une infrastructure contrôlée par l'attaquant. ### Implications et atténuation **Arctic Wolf** souligne qu'en contournant l'authentification de l'API, les acteurs malveillants peuvent modifier les configurations de gestion et exécuter des scripts malveillants sur les terminaux gérés. Les cookies de session volés et les identifiants de navigateur enregistrés peuvent accorder aux attaquants l'accès aux services cloud, aux applications internes et à d'autres ressources authentifiées, contournant potentiellement l'authentification multifacteur (MFA). Il est conseillé aux organisations de : * Mettre à jour immédiatement **FortiClient** EMS vers la version 7.4.7 ou ultérieure. * Surveiller les journaux de **FortiClient** EMS pour toute activité suspecte. * Mettre en œuvre des contrôles d'accès stricts et examiner régulièrement les configurations. * Éduquer les utilisateurs sur les risques liés à l'exécution de mises à jour logicielles inattendues ou non sollicitées.