CVE-2026-35616: FortiClient EMS durch gefälschte Patches ausgenutzt, um EKZ-Infostealer einzuschleusen

CVE-2026-35616: FortiClient EMS durch gefälschte Patches ausgenutzt, um EKZ-Infostealer einzuschleusen

Eine kritische Schwachstelle im FortiClient Endpoint Management Server von Fortinet wird derzeit aktiv in freier Wildbahn als Waffe eingesetzt. Die als CVE-2026-35616 verfolgte Sicherheitslücke wird von Bedrohungsakteuren genutzt, um die EKZ-Infostealer-Malware über eine besonders trügerische Methode zu verbreiten: einen gefälschten Software-Patch. Die Kampagne zum Diebstahl von Anmeldedaten über die FortiClient-EMS-Schwachstelle zielt auf Organisationen ab, die auf zentralisierte Endpunktverwaltung angewiesen sind, und macht deren eigene Sicherheitsinfrastruktur zum Angriffsvektor.

Für IT- und Sicherheitsteams, die verteilte oder remote arbeitende Belegschaften verwalten, ist dies keine abstrakte Bedrohung. Die Angriffskette ist darauf ausgelegt, legitim zu wirken – genau das macht sie besonders gefährlich.

Wie CVE-2026-35616 in freier Wildbahn ausgenutzt wird

CVE-2026-35616 weist einen CVSS-Score von 9,1 auf und ermöglicht einen Pre-Authentication-Bypass sowie eine Rechteausweitung innerhalb von FortiClient EMS. Praktisch bedeutet das: Angreifer können ohne gültige Anmeldedaten auf den Verwaltungsserver zugreifen und Befehle mit erhöhten Rechten ausführen.

Was diese Kampagne von einem typischen Exploit-Versuch unterscheidet, ist die darum gewickelte Social-Engineering-Ebene. Bedrohungsakteure liefern einen gefälschten Patch aus, der als legitimes Update für die betroffene Software getarnt ist. Wenn ein Administrator oder ein verwalteter Endpunkt diesen betrügerischen Patch verarbeitet, führt er im Hintergrund stillschweigend bösartige PowerShell-Befehle aus. Das Opfer sieht ein scheinbar normales Update; der Angreifer fasst Fuß.

Fortinet veröffentlichte im April Hotfixes, nachdem bestätigt wurde, dass die Schwachstelle als Zero-Day-Schwachstelle ausgenutzt worden war, was bedeutet, dass Angriffe bereits liefen, bevor ein Fix verfügbar war. Organisationen, die diese Hotfixes nicht eingespielt haben, bleiben gefährdet, aber selbst gepatchte Umgebungen könnten gefährdet sein, wenn der Köder mit dem gefälschten Patch bereits vor der Behebung zugestellt wurde.

Was der EKZ-Infostealer stiehlt und wer gefährdet ist

Sobald die bösartigen PowerShell-Befehle ausgeführt werden, wird der EKZ-Infostealer auf dem kompromittierten Endpunkt eingesetzt. Sein Hauptziel ist das Abschöpfen von Anmeldedaten. Die Malware zielt speziell auf im Browser gespeicherte Anmeldedaten ab – einschließlich gespeicherter Benutzernamen und Passwörter in gängigen Browsern – sowie auf andere sensible Daten, die auf dem verwalteten Rechner zugänglich sind.

Da FortiClient EMS darauf ausgelegt ist, Endpunkte innerhalb einer Organisation von einer einzigen Konsole aus zu verwalten, betrifft eine erfolgreiche Kompromittierung nicht nur einen einzelnen Rechner. Angreifer, die über den EMS-Server Zugriff erlangen, können potenziell alle Endpunkte unter dessen Verwaltungsschirm erreichen. Dadurch ist der Explosionsradius eines einzelnen Exploit-Ereignisses deutlich größer als bei der Kompromittierung eines eigenständigen Geräts.

Die am unmittelbarsten gefährdeten Organisationen sind jene, die FortiClient EMS zur Verwaltung von Remote- oder Hybrid-Belegschaften einsetzen, bei denen Endpunkte über Heimnetzwerke, Niederlassungen und andere Umgebungen außerhalb des traditionellen Unternehmensperimeters verteilt sind. Remote-Mitarbeiter speichern Anmeldedaten aus Bequemlichkeit häufig in Browsern, was diese Endpunkte zu hochwertigen Zielen für Infostealer macht.

Warum Endpoint-Security-Tools allein für Remote-Teams nicht ausreichen

In dieser Kampagne steckt eine schmerzhafte Ironie. FortiClient selbst ist ein Endpoint-Security-Produkt, und dessen Verwaltungsserver wird nun als Verteilungsmechanismus für Malware genutzt. Dies unterstreicht ein übergeordnetes Prinzip, das Sicherheitsteams in der Theorie oft anerkennen, in der Praxis aber nur schwer umsetzen können: Kein einzelnes Sicherheitstool ist für sich allein ausreichend.

Endpoint-Security-Plattformen sind wertvolle Komponenten einer Verteidigungsstrategie, aber sie sind auch Software – und Software weist Schwachstellen auf. Wenn ein zentralisiertes Verwaltungstool kompromittiert wird, kann es die Schutzmaßnahmen neutralisieren, die es eigentlich durchsetzen sollte. Angreifer verstehen das, weshalb Verwaltungsoberflächen und Sicherheitsinfrastruktur zu vorrangigen Zielen geworden sind.

Insbesondere bei Remote-Teams reicht die Angriffsfläche weit über das verwaltete Gerät hinaus. Netzwerkverkehr, Übertragung von Anmeldedaten und Authentifizierungsflüsse durchlaufen allesamt Umgebungen, die die Organisation nicht vollständig kontrolliert. Gestaffelte Kontrollen – einschließlich netzwerkbasierter Schutzmaßnahmen, Zero-Trust-Zugriffsrichtlinien und strenger Praktiken zur Anmeldedaten-Hygiene – sind notwendige Ergänzungen zu Endpoint-Security-Tools, keine optionalen Extras.

Die in dieser Kampagne verwendete Methode des gefälschten Patches zeigt auch, wie der Update-Prozess selbst ausgenutzt werden kann. Wenn Mitarbeiter oder Administratoren darauf konditioniert sind, Patches auf Abruf zu installieren, können Angreifer dieses Verhalten als Waffe einsetzen. Die Echtheit von Patches vor der Installation über offizielle Anbieterkanäle zu überprüfen, ist ein entscheidender Schritt, den diese Kampagne gezielt zu umgehen versucht.

Wie Sie Ihre Organisation gegen Angriffe mit gefälschten Patches und Infostealern härten

Für Organisationen, die FortiClient EMS betreiben, hat das Einspielen der offiziellen Hotfixes von Fortinet – ausschließlich über verifizierte Update-Kanäle – oberste Priorität. Verlassen Sie sich nicht auf Aufforderungen oder Links, die per E-Mail, Chat oder über unbekannte Oberflächen zugestellt werden.

Über den unmittelbaren Patch hinaus sind hier konkrete Schritte, die sich zu priorisieren lohnen:

• Überprüfen Sie verwaltete Endpunkte auf Anzeichen einer Kompromittierung. Achten Sie auf unerwartete PowerShell-Ausführungsereignisse, ungewöhnliche ausgehende Verbindungen oder Hinweise auf das Auslesen von Anmeldedaten in den Datenspeichern der Browser.
• Beschränken Sie den Zugriff auf den Verwaltungsserver. FortiClient EMS sollte ohne strenge Zugriffskontrollen nicht dem öffentlichen Internet ausgesetzt sein. Begrenzen Sie, wer die Verwaltungsoberfläche erreichen kann und von wo aus.
• Erzwingen Sie Multi-Faktor-Authentifizierung für alle Remote-Zugangspunkte. Gestohlene Browser-Anmeldedaten sind am gefährlichsten, wenn sie direkten Zugriff auf Unternehmenssysteme ermöglichen. MFA durchbricht diese Kette.
• Sensibilisieren Sie Administratoren für Taktiken mit gefälschten Patches. Social-Engineering-Angriffe, die auf IT-Personal abzielen, nehmen zu. Teams, die die Taktik verstehen, fallen seltener darauf herein.
• Bewerten Sie netzwerkbasierte Kontrollen für Remote-Endpunkte. Tools, die den Datenverkehr von Remote-Geräten verschlüsseln und authentifizieren, fügen eine Schutzebene hinzu, die die Endpunktsicherheit ergänzt – insbesondere dann, wenn ein Endpoint-Security-Tool selbst kompromittiert ist.

Die CVE-2026-35616-Kampagne erinnert daran, dass es wichtig ist, den Unterschied zwischen einer gepatchten Schwachstelle und einer vollständig entschärften Bedrohung zu verstehen. Selbst nachdem Hotfixes eingespielt wurden, müssen Organisationen untersuchen, ob der Köder mit dem gefälschten Patch in ihrer Umgebung möglicherweise bereits ausgeführt wurde. Der Zeitpunkt der Patch-Installation und ergänzende Kontrollen sind beide Teil der Gleichung – genau deshalb behandeln Sicherheits-Frameworks den Endpunktschutz zunehmend als eine von vielen Schichten und nicht als eigenständige Lösung.

Wenn Ihre Organisation eine Remote-Belegschaft verwaltet, ist jetzt ein guter Zeitpunkt, um nicht nur Ihre FortiClient-EMS-Bereitstellung, sondern Ihre gesamte mehrschichtige Sicherheitsstrategie zu überprüfen. Lücken zu identifizieren, bevor die nächste Kampagne sie ausnutzt, ist eine weitaus bessere Position, als zu reagieren, nachdem Anmeldedaten bereits gestohlen wurden.