Exploração de CVE-2026-35616 permite abuso de perfis administrativos do FortiClient EMS para executar scripts em endpoints gerenciados e instalar um binário Windows voltado à coleta de credenciais de navegadores.
| Componente | FortiClient Endpoint Management Server (EMS), perfis de Remote Access Profile, políticas de endpoint e endpoints Windows gerenciados pelo EMS. |
| Vetor | Abuso de CVE-2026-35616, falha de controle de acesso impróprio que permite contornar autenticação de API e enviar requisições privilegiadas a implantações afetadas sem credenciais válidas. |
| Impacto | Controle administrativo do EMS, alteração de políticas, execução silenciosa de scripts via diretivas on_connect durante estabelecimento de túnel IPsec e distribuição do EKZ Infostealer para coleta de credenciais em navegadores. |
| Prioridade | Atualizar o FortiClient EMS para versão corrigida, restringir o acesso à porta de gerenciamento 8013 a origens confiáveis e auditar perfis de VPN em busca de scripts não autorizados. |
| Artefatos | Cadeia observável envolvendo fortitray.exe ou ipsec.exe, criação de comando operacional omitido, execução de comando operacional omitido e binário disfarçado como FortiEndpoint_Patch.exe. |
| IoCs | Foram citados exemplos defangados como 83[.]138.53[.]110 para recebimento de saída via HTTP POST e eventos de login associados a nós de saída Tor como 185[.]220.101[.]15 e 192[.]42.116[.]14. |
Uma campanha observada em maio de 2026 explorou CVE-2026-35616 em FortiClient Endpoint Management Server para transformar a infraestrutura administrativa legítima do EMS em canal de implantação de malware. A vulnerabilidade é descrita como falha de controle de acesso impróprio e permite que um agente não autenticado contorne a autenticação da API e envie requisições privilegiadas a instalações afetadas. O efeito prático é grave porque o EMS concentra políticas, perfis de acesso remoto e configurações aplicadas à frota de endpoints gerenciados; quando esse ponto de controle é abusado, a execução não depende de comprometer cada estáção individualmente antes da distribuição.
Após obter acesso administrativo por meio da falha, os operadores modificaram configurações do Remote Access Profile e políticas de endpoint para inserir scripts maliciosos voltados a todos os dispositivos gerenciados. O abuso não dependeu de uma técnica exótica dentro do endpoint: a cadeia se apoiou em uma funcionalidade legítima do FortiClient EMS, que permite execução de scripts quando um túnel VPN é estabelecido por diretivas on_connect. Esse detalhe aumenta o risco operacional, pois a atividade pode parecer, em parte, alinhada ao comportamento esperado de administração remota até que a cadeia de processos, os arquivos criados e os destinos de rede sejam correlacionados.
O payload final foi identificado como EKZ Infostealer, um binário Windows compilado com MinGW e disfarçado como FortiEndpoint_Patch.exe. O malware foi descrito como uma família não documentada anteriormente e recebeu esse nome a partir de cadeias internas extraídas de código descriptografado. Sua função principal, conforme o material técnico recebido, é coletar credenciais de navegadores das famílias Chromium e Gecko, incluindo Chrome, Edge, Firefox, LibreWolf e Thunderbird. Em ambientes corporativos, isso desloca o incidente de uma falha de gerenciamento para um risco direto sobre senhas e segredos armazenados em perfis de usuário.
A cadeia começa no FortiClient EMS exposto à exploração de CVE-2026-35616. O desvio de autenticação da API permite que o atacante envie requisições com privilégio suficiente para alterar a configuração do servidor. Com isso, os operadores inserem instruções em perfis de acesso remoto e políticas de endpoint, mirando a execução em máquinas gerenciadas quando elas estabelecem túneis IPsec. A condição operacional relevante é a existência de endpoints vinculados ao EMS afetado e o uso de perfis que aceitam diretivas de script durante a conexão VPN.
Nos endpoints impactados, o processo fortitray.exe inicia arquivos .cmd com nomes baseados em GUID armazenados no caminho padrão de logs VPN do FortiClient, especificamente em logs\Trace\scripts\. Esses arquivos decodificam e executam uma carga PowerShell codificada em base64. O conteúdo operacional do comando não deve ser reproduzido, mas sua função descrita é baixar o executável malicioso, executá-lo de forma silenciosa, aguardar cerca de 90 segundos e enviar saída por HTTP POST para uma VPS controlada pelo operador, citada de forma defangada como 83[.]138.53[.]110.
A execução também foi relacionada a eventos iniciais de login vindos de múltiplos nós de saída Tor, com exemplos defangados como 185[.]220.101[.]15 e 192[.]42.116[.]14, dentro de poucas horas do desvio de autenticação da API. Esses endereços não devem ser tratados isoladamente como prova suficiente de comprometimento, mas ajudam a compor uma linha do tempo quando aparecem próximos a alterações de configuração do EMS, criação de scripts com nomes incomuns e conexões subsequentes para a infraestrutura de recebimento.
O EKZ tenta acessar credenciais em navegadores Chromium localizando instalações por meio do registro do Windows. Em seguida, copia a si mesmo para o diretório Application\ do navegador para passar pela validação de caminho do Elevation Service e chama IElevator::DecryptData para obter a chave mestra AES-256 v20 antes de descriptografar bancos de credenciais. Para a família Gecko, o escopo citado inclui Firefox, LibreWolf e Thunderbird, indicando foco tanto em navegadores quanto em clientes relacionados a perfis de usuário. O impacto confirmado no material é a capacidade de coleta de credenciais nesses aplicativos, não uma movimentação lateral automática ou vazamento amplo de dados sem evidência adicional.
A superfície principal é o FortiClient EMS em implantações vulneráveis a CVE-2026-35616, especialmente quando a interface de gerenciamento ou a API ficam alcançáveis por origens não estritamente controladas. O risco cresce porque a alteração ocorre em um plano administrativo central e se propaga para endpoints gerenciados por política. Assim, a análise não deve se limitar ao servidor EMS: é necessário reconstruir quais perfis foram alterados, quais grupos de dispositivos receberam a política e quais endpoints estabeleceram túneis IPsec após a modificação.
Os endpoints Windows gerenciados compõem a segunda camada de exposição. A execução descrita depende da conexão via túnel IPsec e do processamento de diretivas que acionam scripts no evento de conexão. Sistemas com navegadores Chrome, Edge, Firefox, LibreWolf ou Thunderbird instalados merecem atenção adicional, pois são os alvos de coleta citados para o EKZ. A presença do binário com nome de atualização, scripts .cmd em diretórios de log do FortiClient e cadeias de processo partindo de componentes legítimos do cliente são sinais que conectam a exploração no servidor ao efeito no host.
- FortiClient EMS afetado por
CVE-2026-35616e capaz de aceitar requisições privilegiadas indevidas pela API. - Perfis de Remote Access Profile e políticas de endpoint contendo diretivas
on_connectou entradas de script não autorizadas. - Endpoints Windows gerenciados que estabeleceram túneis IPsec após a alteração maliciosa da configuração.
- Instalações de navegadores Chromium e Gecko com credenciais armazenadas em perfis locais de usuário.
A investigação deve começar pelo EMS, procurando alterações de configuração em Remote Access Profiles e políticas de endpoint no período de maio de 2026 ou em qualquer janela compatível com eventos suspeitos. Registros de autenticação e administração devem ser comparados com origens de rede incomuns, incluindo uso de Tor quando houver visibilidade. O objetivo é identificar o momento em que a autenticação da API foi contornada, quais objetos administrativos foram modificados e quais dispositivos passaram a receber scripts por mecanismo legítimo do FortiClient.
Nos endpoints, o encadeamento de processos é um indicador de alto valor porque combina binários legítimos com execução de script e payload externo. A sequência observável envolve fortitray.exe ou ipsec.exe iniciando comando operacional omitido, seguido por comando operacional omitido e pelo executável FortiEndpoint_Patch.exe. Essa cadeia deve ser correlacionada com a criação de arquivos .cmd com nomes baseados em GUID no caminho logs\Trace\scripts\, conexões HTTP POST para infraestrutura externa e execução silenciosa de binários recém-baixados.
A telemetria de navegador e endpoint deve ser usada com cuidado para não destruir evidências. Sinais relevantes incluem acesso incomum a diretórios Application\ de navegadores, cópias inesperadas de executáveis nesse local, chamadas relacionadas ao mecanismo de descriptografia do Elevation Service e leitura de bancos de credenciais. Em paralelo, proxies, EDR, logs de DNS e firewall podem confirmar comunicação para a VPS defangada 83[.]138.53[.]110 ou para destinos com comportamento similar, mas a ausência desse indicador específico não elimina o incidente se a configuração do EMS foi alterada.
- Alterações não autorizadas em Remote Access Profiles, políticas de endpoint e diretivas
on_connectno FortiClient EMS. - Arquivos
.cmdcom nomes baseados em GUID dentro delogs\Trace\scripts\no caminho de logs VPN do FortiClient. - Cadeia de processos
fortitray.exeouipsec.exepara comando operacional omitido, depois comando operacional omitido eFortiEndpoint_Patch.exe. - Eventos de login administrativo próximos a origens Tor, incluindo os exemplos defangados 185[.]220.101[.]15 e 192[.]42.116[.]14.
- HTTP POST para infraestrutura externa controlada pelo operador, com 83[.]138.53[.]110 citado como exemplo defangado.
A primeira ação defensiva é atualizar o FortiClient EMS para uma versão corrigida que trate CVE-2026-35616. Como a falha permite requisições privilegiadas sem credenciais válidas, a correção do servidor deve ser acompanhada de contenção de exposição: o acesso à porta de gerenciamento 8013 deve ser limitado a faixas de IP confiáveis e monitoradas. Essa restrição não substitui a atualização, mas reduz a superfície de ataque enquanto a organização valida o estado dos servidores e perfis.
Depois da correção, a organização deve auditar a configuração do EMS como se o plano administrativo já tivesse sido manipulado. Isso inclui revisar Remote Access Profiles, diretivas de script, políticas de endpoint e histórico de mudanças para localizar entradas que não correspondam ao padrão operacional aprovado. Qualquer perfil suspeito precisa ser removido ou revertido, e os endpoints que receberam a política devem ser isolados ou colocados em contenção proporcional até que a cadeia de execução seja descartada ou confirmada.
Nos hosts, a resposta deve procurar o binário FortiEndpoint_Patch.exe, scripts .cmd com nomes de GUID no caminho de scripts do FortiClient e evidências de execução de PowerShell originadas por processos do cliente VPN. Como o EKZ é descrito como ladrão de credenciais de navegadores, a rotação de senhas deve priorizar contas usadas nos endpoints afetados, principalmente credenciais armazenadas nos navegadores citados. A rotação deve ocorrer após contenção e limpeza do endpoint, para evitar que novas credenciais sejam coletadas no mesmo ambiente comprometido.
A validação final precisa reconciliar três planos: servidor EMS, endpoints gerenciados e identidade. No EMS, confirme ausência de diretivas maliciosas e exposição controlada da porta 8013. Nos endpoints, confirme remoção de artefatos, inexistência da cadeia de processos e ausência de comunicação para infraestrutura suspeita. Em identidade, revise acessos realizados com contas potencialmente salvas em navegadores e revogue sessões quando aplicável. O incidente deve ser tratado como exposição de frota gerenciada quando um único EMS afetado tiver distribuído a configuração para múltiplas máquinas.
- Atualizar o FortiClient EMS para versão corrigida contra
CVE-2026-35616. - Restringir a porta 8013 a origens confiáveis e registrar tentativas rejeitadas ou incomuns.
- Revisar diretivas
on_connect, scripts em Remote Access Profiles e políticas aplicadas a grupos de endpoints. - Caçar e remover
FortiEndpoint_Patch.exee scripts.cmdsuspeitos em endpoints gerenciados. - Rotacionar credenciais de usuários afetados depois da contenção do endpoint e revisar sessões ativas associadas.
0 Comentários