CVE-2026-35616: FortiClient EMS Explorado via Falsos Patches para Distribuir o Infostealer EKZ

CVE-2026-35616: FortiClient EMS Explorado via Falsos Patches para Distribuir o Infostealer EKZ

Uma vulnerabilidade crítica no Servidor de Gerenciamento de Endpoints FortiClient da Fortinet está sendo ativamente explorada em ataques reais. Rastreada como CVE-2026-35616, a falha está sendo utilizada por agentes de ameaças para implantar o malware Infostealer EKZ por meio de um método particularmente enganoso: um falso patch de software. A campanha de roubo de credenciais da vulnerabilidade do FortiClient EMS tem como alvo organizações que dependem de gerenciamento centralizado de endpoints, transformando sua própria infraestrutura de segurança em um vetor de ataque.

Para equipes de TI e segurança que gerenciam forças de trabalho distribuídas ou remotas, essa não é uma ameaça abstrata. A cadeia de ataque é projetada para parecer legítima, e é isso que a torna especialmente perigosa.

Como a CVE-2026-35616 Está Sendo Explorada em Ataques Reais

A CVE-2026-35616 possui uma pontuação CVSS de 9,1 e permite bypass de pré-autenticação e escalonamento de privilégios dentro do FortiClient EMS. Em termos práticos, os atacantes podem acessar o servidor de gerenciamento sem credenciais válidas e executar comandos com níveis elevados de privilégio.

O que diferencia essa campanha de uma tentativa típica de exploração é a camada de engenharia social que a envolve. Os agentes de ameaças estão entregando um falso patch disfarçado como uma atualização legítima para o software afetado. Quando um administrador ou endpoint gerenciado processa esse patch fraudulento, ele executa silenciosamente comandos maliciosos do PowerShell em segundo plano. A vítima vê o que parece ser uma atualização normal; o atacante ganha um ponto de apoio.

A Fortinet emitiu hotfixes em abril após confirmar que a vulnerabilidade havia sido explorada como uma vulnerabilidade de dia zero, ou seja, os ataques estavam em andamento antes que uma correção estivesse disponível. Organizações que não aplicaram esses hotfixes permanecem expostas, mas mesmo ambientes corrigidos podem estar em risco se a isca do falso patch já tiver sido entregue antes da remediação.

O Que o Infostealer EKZ Rouba e Quem Está em Risco

Uma vez que os comandos maliciosos do PowerShell são executados, o Infostealer EKZ é implantado no endpoint comprometido. Seu objetivo principal é a coleta de credenciais. O malware visa especificamente credenciais armazenadas nos navegadores, incluindo nomes de usuário e senhas salvos nos navegadores mais comuns, além de outros dados sensíveis acessíveis na máquina gerenciada.

Como o FortiClient EMS é projetado para gerenciar endpoints em toda a organização a partir de um único console, um comprometimento bem-sucedido não afeta apenas uma máquina. Atacantes que obtêm acesso por meio do servidor EMS podem potencialmente alcançar todos os endpoints sob seu guarda-chuva de gerenciamento. Isso torna o raio de alcance de um único evento de exploração significativamente maior do que o comprometimento de um dispositivo isolado.

As organizações mais diretamente em risco são aquelas que usam o FortiClient EMS para gerenciar forças de trabalho remotas ou híbridas, onde os endpoints estão distribuídos em redes domésticas, filiais e outros ambientes fora do perímetro corporativo tradicional. Trabalhadores remotos frequentemente armazenam credenciais nos navegadores por conveniência, tornando esses endpoints alvos de alto valor para infostealers.

Por Que Ferramentas de Segurança de Endpoint Sozinhas Não São Suficientes para Equipes Remotas

Há uma ironia dolorosa embutida nessa campanha. O próprio FortiClient é um produto de segurança de endpoint, e seu servidor de gerenciamento agora está sendo usado como mecanismo de entrega para malware. Isso ressalta um princípio mais amplo que as equipes de segurança frequentemente reconhecem na teoria, mas têm dificuldade de operacionalizar na prática: nenhuma ferramenta de segurança é suficiente por si só.

As plataformas de segurança de endpoint são componentes valiosos de uma estratégia de defesa, mas também são software, e software tem vulnerabilidades. Quando uma ferramenta de gerenciamento centralizado é comprometida, ela pode neutralizar as proteções que deveria aplicar. Os atacantes entendem isso, e é por isso que interfaces de gerenciamento e infraestrutura de segurança se tornaram alvos de alta prioridade.

Para equipes remotas em particular, a superfície de ataque se estende muito além do dispositivo gerenciado. O tráfego de rede, a transmissão de credenciais e os fluxos de autenticação passam por ambientes que a organização não controla totalmente. Controles em camadas, incluindo proteções no nível da rede, políticas de acesso de confiança zero e boas práticas de higiene de credenciais, são complementos necessários às ferramentas de segurança de endpoint, e não extras opcionais.

O método de entrega por falso patch usado nesta campanha também destaca como o próprio processo de atualização pode ser explorado. Se funcionários ou administradores estão condicionados a instalar patches sob demanda, os atacantes podem transformar esse comportamento em arma. Verificar a autenticidade dos patches por meio dos canais oficiais do fornecedor antes da instalação é uma etapa crítica que essa campanha tenta especificamente burlar.

Como Proteger Sua Organização Contra Ataques de Falsos Patches e Infostealers

Para organizações que executam o FortiClient EMS, a prioridade imediata é aplicar os hotfixes oficiais da Fortinet apenas pelos canais de atualização verificados. Não confie em avisos ou links entregues por e-mail, chat ou interfaces desconhecidas.

Além do patch imediato, aqui estão etapas concretas que merecem prioridade:

• Auditar endpoints gerenciados em busca de sinais de comprometimento. Procure por eventos inesperados de execução do PowerShell, conexões de saída incomuns ou evidências de atividade de coleta de credenciais nos armazenamentos de dados dos navegadores.
• Restringir o acesso ao servidor de gerenciamento. O FortiClient EMS não deve ser exposto à internet pública sem controles de acesso rígidos. Limite quem pode acessar a interface de gerenciamento e de onde.
• Aplicar autenticação multifator em todos os pontos de acesso remoto. Credenciais roubadas do navegador são mais perigosas quando fornecem acesso direto aos sistemas corporativos. A MFA quebra essa cadeia.
• Educar os administradores sobre as táticas de falsos patches. Ataques de engenharia social direcionados à equipe de TI estão se tornando cada vez mais comuns. Equipes que entendem a tática têm menos probabilidade de cair nela.
• Avaliar controles no nível da rede para endpoints remotos. Ferramentas que criptografam e autenticam o tráfego de dispositivos remotos adicionam uma camada de proteção que complementa a segurança de endpoint, especialmente quando a própria ferramenta de segurança de endpoint está comprometida.

A campanha da CVE-2026-35616 é um lembrete de que entender a diferença entre uma vulnerabilidade corrigida e uma ameaça totalmente mitigada é importante. Mesmo após a aplicação dos hotfixes, as organizações precisam investigar se a isca do falso patch pode já ter sido executada em seu ambiente. O momento da aplicação do patch e os controles complementares são ambos parte da equação, e é exatamente por isso que os frameworks de segurança tratam cada vez mais a proteção de endpoint como uma camada entre muitas, em vez de uma solução isolada.

Se sua organização gerencia uma força de trabalho remota, agora é um bom momento para auditar não apenas sua implantação do FortiClient EMS, mas sua estratégia mais ampla de segurança em camadas. Identificar lacunas antes que a próxima campanha as explore é uma posição muito melhor do que responder depois que as credenciais já foram roubadas.