Sicherheitslösungen sind ein beliebtes Angriffsziel – nicht nur, um sie auszuschalten, sondern um sie als Trojanisches Pferd zu missbrauchen. Ein aktueller Vorfall zeigt einmal mehr, wie gefährlich es ist, wenn die Infrastruktur, die eigentlich Endgeräte schützen soll, selbst zur Angriffsfläche wird. Cybersecurity-Forscher von Arctic Wolf haben eine Kampagne dokumentiert, bei der Angreifer eine kritische Schwachstelle in FortiClient Endpoint Management Server (EMS) ausnutzen, um einen Credential-Stealer auf allen verwalteten Endgeräten zu installieren.
Die Schwachstelle: CVE-2026-35616
Im Zentrum der Attacke steht die Sicherheitslücke CVE-2026-35616. Diese Vulnerabilität weist mit einem CVSS-Score von 9.1 eine kritische Schwere auf. Das Problem ist ein Pre-Authentication API Access Bypass, der zu einer Privilege Escalation führt. Kurz gesagt: Ein Angreifer kann sich ohne gültige Zugangsdaten über die API Zugriff auf das EMS verschaffen und dies zu administrativen Zwecken missbrauchen. Fortinet hat das Problem bereits mit der Version FortiClient EMS 7.4.7 behoben, doch wie so oft in der IT-Security hinkt das Patching der Bedrohungslage hinterher.
Der Angriffspfad: Wenn der Verteidiger zum Angreifer wird
Was diesen Angriff besonders tückisch macht, ist die Vorgehensweise der Threat Actors. Sie haben nicht einfach nur den Server kompromittiert, sondern die vertrauenswürdige Management-Infrastruktur genutzt, um Malware flächendeckend auszuliefern. "Die Kampagne missbrauchte die vertrauenswürdige Endpoint-Management-Infrastruktur, um Malware auf verwalteten Endpunkten zu verteilen", erklärt Arctic Wolf. Das bösartige Payload wurde als reguläres Fortinet-Endpoint-Update getarnt und über PowerShell lautlos ausgeführt.
Die genaue Modus Operandi liest sich wie ein Lehrbuch für Living-off-the-Land-Angriffe:
- API-Manipulation: Nach erfolgreicher Ausnutzung von CVE-2026-35616 verändern die Angreifer die EMS-Konfiguration. Sie stellen Firmware-Update-Erinnerungen zurück und modifizieren Remote Access Profile sowie Endpoint Policies.
- Policy-Injektion: In diese Policies schleusen sie ein bösartiges Skript ein. Da FortiClient diese Policies automatisch auf alle verwalteten Geräte pusht, wird das Skript auf den Endpunkten ausgeführt, ohne dass ein separater Einbruch in jedes einzelne Gerät nötig ist.
- Prozess-Missbrauch: Das Skript nutzt die legitime ausführbare Datei
fortitray.exe, um übercmd.exeeine.cmd-Datei zu starten. Diese wiederum ruft ein Base64-kodiertes PowerShell-Skript auf.
Das PowerShell-Skript lädt anschließend das eigentliche Payload herunter, führt es aus und exfiltriert die erbeuteten Daten über einen HTTP-POST-Request an die Infrastruktur der Angreifer unter 83.138.53[.]110.
Der Stealer: Fokus auf Browser-Daten
Das heruntergeladene Payload trägt den Namen FortiEndpoint_Patch.exe – ein klassisches Camouflage-Manöver. Tatsächlich handelt es sich um einen bisher unbekannten Windows Information Stealer. Seine Aufgabe ist hochspezifisch: Er greift sensible Daten aus Chromium- und Gecko-basierten Browsern ab. Dazu gehören Passwörter, Cookies, Autofill-Daten wie Kreditkarteninformationen, Adressen und Telefonnummern.
Interessant ist die technische Aufteilung des Stealers: Die Malware selbst hat keine eigenen Netzwerkfunktionen zur Exfiltration. Sie schreibt die gestohlenen Daten lediglich in eine Log-Datei im ProgramData-Verzeichnis. Der Versand an den Angreifer-Server wird ausschließlich vom zuvor geladenen PowerShell-Skript übernommen. Diese Trennung macht den Stealer kompakt und erschwert die Detection durch Antiviren-Programme, die primär auf Netzwerkverbindungen von unbekannten Executables achten.
Kritische Einordnung: Die MFA-Lücke und der Single Point of Failure
Dieser Vorfall verdeutlicht zwei fundamentale Probleme der modernen IT-Sicherheit:
1. Session-Cookies als Schwachstelle: Arctic Wolf weist zurecht darauf hin, dass gestohlene Session-Cookies und gespeicherte Browser-Anmeldedaten Angreibern Folgezugriffe auf Cloud-Dienste und interne Anwendungen ermöglichen. Besonders brisant: Durch Session Reuse können Multi-Faktor-Authentifizierung (MFA)-Prompts umgangen werden. MFA schützt nur den initialen Login-Prozess. Wer den gültigen Session-Cookie besitzt, ist bereits eingeloggt. Ein Credential Stealer, der auf Cookies abzielt, ist daher oft wirksamer als ein Keylogger.
2. Das Paradoxon der zentralen Verwaltung: Endpoint-Management-Lösungen wie FortiClient EMS sind aus administrativer Sicht ein Segen, aus Sicherheitsperspektive jedoch ein massiver Single Point of Failure. Wenn der zentrale Verwaltungsserver kompromittiert ist, wird jede verwaltete Maschine im Netzwerk automatisch zum Opfer. Es ist nicht nötig, jeden Rechner einzeln zu hacken – man kapert einfach den Verteiler. "Sobald die Angreifer einen Weg hatten, die von EMS verwaltete Konfiguration zu ändern, wurde jeder verwaltete Endpunkt zu einem potenziellen Ausführungsziel", so Arctic Wolf.
Fazit und Handlungsbedarf
Für Administratoren gibt es aus diesem Vorfall eine klare Botschaft: Patch-Management ist nicht verhandelbar. FortiClient EMS muss unbedingt auf Version 7.4.7 oder höher aktualisiert werden. Darüber hinaus sollten Netzwerkmonitoring-Lösungen verdächtige HTTP-POST-Requests an unbekannte IPs (wie die genannte) von PowerShell-Prozessen blockieren oder zumindest alarmieren. Zentrale Verwaltungssysteme müssen mit der gleichen Sorgfalt und Härtung abgesichert werden wie kritische Domain Controller. Wer das Vertrauen in seine Management-Infrastruktur verliert, verliert die Kontrolle über das gesamte Netz.
Quelle: The Hacker News
