BEDROHUNG
Angreifer nutzen eine kritische Authentication-Bypass-Schwachstelle in FortiClient Enterprise Management Server (EMS) aus, um eine bisher unbekannte Infostealer-Malware namens „EKZ“ auf gemanagten Endpunkten zu installieren. FortiClient EMS verwaltet zentral Endpunkte, Richtlinien und Konfigurationen. Patches für betroffene Versionen liegen seit Anfang April vor.
Die Lücke CVE-2026-35616 erreicht einen CVSS-Score von 9,8 und betrifft als Improper-Access-Control-Schwachstelle FortiClient EMS 7.4.5 und 7.4.6. Ein nicht authentifizierter Angreifer kann über manipulierte Anfragen administrative Aktionen ausführen, die eigentlich gültige Zugangsdaten erfordern, etwa Code oder Befehle ausführen. Laut Arctic Wolf missbrauchten die Angreifer zunächst EMS-Endpunkt-APIs und veränderten anschließend Konfigurationen und VPN-Richtlinien.
In den beobachteten Fällen ermöglichten FortiClient-managed VPN scripting workflows die Ausführung bösartiger Skripte. Die legitime Datei fortitray.exe startete beim Aufbau eines VPN-Tunnels manipulierte Batch-Skripte, die eine Base64-kodierte PowerShell-Payload ausführten. Diese lud eine als Fortinet-Patch getarnte Malware nach und exfiltrierte die gesammelten Daten per HTTP an die Angreifer.
Der Infostealer EKZ zielt vor allem auf Browserdaten. Er unterstützt unter anderem Chrome, Edge und weitere Chromium-basierte Browser sowie Firefox beziehungsweise Gecko-basierte Browser und extrahiert beispielsweise Anmeldeinformationen und Cookies. Angriffsversuche lassen sich laut Arctic Wolf an der Logzeile „Certificate not found in request header“ erkennen. In Lab-Versuchen folgte darauf der Eintrag „Certificate user: fortinet-ca2 … successfully updated“.
Was jetzt zu tun ist:
- umgehend patchen
- Logs prüfen
auf Anomalien bei der Zertifikatsauthentifizierung und unerwartete Änderungen an Zugriffsprofil-Konfigurationen achten
PRÄVENTION & DETEKTION
Mit einer EDR‑Lösung können bösartige Skripte durch Verhaltensanalyse, Anomalieerkennung und Echtzeit-Überwachung von Prozessen sowie deren Ausführungsumgebung zuverlässig identifiziert und gemeldet werden.
Autor: Michael Niers
