A falha no FortiClient EMS voltou a acender o alerta entre administradores de sistemas e equipes de segurança após a confirmação de que cibercriminosos estão explorando ativamente a vulnerabilidade CVE-2026-35616 para distribuir malware especializado no roubo de credenciais. O caso chama atenção por um motivo preocupante: a própria infraestrutura corporativa criada para proteger dispositivos está sendo utilizada como plataforma para comprometer usuários e redes inteiras.
A descoberta, divulgada pela empresa de segurança Arctic Wolf em maio de 2026, demonstra como atacantes conseguem transformar servidores de gerenciamento de endpoints em mecanismos eficientes para disseminar códigos maliciosos dentro das organizações. O impacto potencial vai muito além do roubo de senhas, podendo resultar em invasões de contas corporativas, movimentação lateral na rede e comprometimento de serviços em nuvem.
Neste artigo, você entenderá como funciona a vulnerabilidade CVE-2026-35616, como os criminosos abusam do ambiente do FortiClient EMS, quais dados estão sendo roubados e quais medidas devem ser adotadas imediatamente para reduzir os riscos.
Entendendo a falha no FortiClient EMS (CVE-2026-35616)
A vulnerabilidade CVE-2026-35616 afeta o FortiClient EMS (Endpoint Management Server), plataforma amplamente utilizada para gerenciar dispositivos protegidos por soluções da Fortinet.
O problema está relacionado a um bypass de acesso à API pré-autenticação, uma falha que permite que invasores interajam com componentes críticos do sistema sem fornecer credenciais válidas.
Em condições normais, qualquer alteração administrativa no servidor deveria exigir autenticação adequada. No entanto, a vulnerabilidade permite que agentes maliciosos contornem esse processo de validação e obtenham privilégios elevados diretamente na infraestrutura de gerenciamento.
Na prática, isso significa que um invasor pode assumir funções administrativas do ambiente sem conhecer usuários, senhas ou outros mecanismos tradicionais de autenticação.
O aspecto mais perigoso da falha no FortiClient EMS é justamente a possibilidade de transformar uma plataforma confiável em uma ferramenta de distribuição de malware para todos os dispositivos gerenciados pela organização.
A anatomia do ataque: Como o FortiClient vira uma arma
Uma vez obtido o acesso administrativo indevido, os atacantes passam a utilizar recursos legítimos da plataforma para distribuir códigos maliciosos de forma praticamente invisível.
O resultado é uma cadeia de ataque extremamente eficaz, já que os endpoints confiam naturalmente nos comandos emitidos pelo servidor de gerenciamento.
O vetor de distribuição silencioso
Segundo os pesquisadores, os criminosos utilizam os mecanismos internos do FortiClient EMS para empurrar scripts maliciosos para os dispositivos registrados no ambiente.
Esses scripts são enviados utilizando os mesmos canais normalmente empregados para atualizações, configurações e tarefas administrativas legítimas.
Por conta dessa característica, muitos sistemas de monitoramento podem inicialmente interpretar a atividade como uma operação autorizada da própria plataforma.
O componente mais utilizado pelos invasores é o PowerShell, ferramenta legítima do Windows frequentemente explorada em campanhas avançadas devido à sua flexibilidade e ampla presença em ambientes corporativos.
Ao utilizar a infraestrutura confiável do EMS, os atacantes reduzem significativamente a chance de bloqueio imediato pelos controles tradicionais de segurança.
Uso de binários legítimos e o payload falso
Outro aspecto sofisticado da campanha envolve o abuso de componentes legítimos da solução.
Os pesquisadores observaram a manipulação do processo fortitray.exe, executável legítimo do ecossistema Fortinet utilizado pelos clientes instalados nas estações de trabalho.
Através desse processo confiável, os criminosos conseguem executar comandos que invocam scripts PowerShell codificados em Base64, técnica frequentemente empregada para dificultar análises rápidas e evitar detecções baseadas em assinaturas simples.
Além disso, os invasores utilizam um executável disfarçado chamado FortiEndpoint_Patch.exe.
À primeira vista, o arquivo aparenta ser uma atualização legítima da plataforma. Entretanto, sua verdadeira função é instalar componentes maliciosos destinados à coleta e exfiltração de informações sensíveis.
Esse tipo de abordagem aumenta significativamente as chances de sucesso da campanha, pois explora a confiança dos usuários e dos sistemas na infraestrutura da própria ferramenta de segurança.
O impacto do roubo de dados e o perigo do bypass de MFA
O objetivo principal da operação é a distribuição de um malware do tipo infostealer, desenvolvido para capturar informações de autenticação armazenadas nos dispositivos comprometidos.
Entre os dados visados estão:
- Senhas salvas em navegadores Chromium
- Senhas armazenadas em navegadores Gecko
- Cookies de autenticação
- Tokens de sessão
- Dados de acesso corporativo
- Informações relacionadas a serviços em nuvem
Embora o roubo de senhas seja extremamente preocupante, os cookies de sessão representam uma ameaça ainda maior.
Quando um usuário realiza login em uma plataforma corporativa, diversos serviços armazenam cookies que comprovam sua autenticação ativa. Se esses arquivos forem roubados, os invasores podem reutilizá-los para assumir a sessão legítima da vítima.
Essa técnica é conhecida como Session Hijacking.
Na prática, o criminoso pode acessar aplicações corporativas sem precisar informar a senha original da vítima.
O problema torna-se ainda mais grave porque muitos desses acessos conseguem contornar mecanismos de MFA (autenticação multifator) já concluídos durante a sessão legítima.
Isso significa que mesmo organizações que adotaram autenticação multifator podem sofrer comprometimentos caso os cookies de sessão sejam roubados com sucesso.
Como consequência, os atacantes podem acessar serviços de armazenamento em nuvem, plataformas de colaboração, sistemas internos e até ambientes administrativos sem gerar suspeitas imediatas.
Como se proteger e mitigar o problema da falha no FortiClient EMS
A principal recomendação para organizações afetadas é aplicar imediatamente a correção do FortiClient EMS disponibilizada pela Fortinet.
Administradores devem atualizar seus ambientes para o FortiClient EMS 7.4.7 ou versões posteriores, que incluem as correções necessárias para eliminar a vulnerabilidade CVE-2026-35616.
Além da atualização, é recomendável executar uma revisão completa do ambiente para identificar possíveis sinais de comprometimento.
Algumas medidas importantes incluem:
- Verificar logs administrativos do FortiClient EMS.
- Investigar alterações suspeitas em tarefas distribuídas para endpoints.
- Procurar execuções incomuns de PowerShell.
- Monitorar atividades relacionadas ao fortitray.exe.
- Identificar a presença do arquivo FortiEndpoint_Patch.exe.
- Revisar eventos de autenticação em serviços corporativos e ambientes de nuvem.
- Invalidar sessões suspeitas e redefinir credenciais comprometidas.
Organizações que ainda não aplicaram a atualização devem tratar o problema como prioridade máxima, especialmente em ambientes expostos à internet.
A exploração ativa observada pelos pesquisadores demonstra que os criminosos já estão incorporando a vulnerabilidade em operações reais, reduzindo drasticamente o tempo disponível para resposta.
A falha no FortiClient EMS reforça uma lição importante para o setor de segurança: nenhuma ferramenta deve ser considerada confiável apenas por sua função. Quando uma plataforma de proteção é comprometida, ela pode se transformar rapidamente em um dos vetores de ataque mais perigosos dentro de uma organização.
Por isso, além de aplicar a atualização imediatamente, vale a pena revisar os registros do ambiente em busca de indicadores de comprometimento e reforçar o monitoramento contínuo da infraestrutura.
Para acompanhar novas ameaças, vulnerabilidades críticas e alertas de segurança que afetam ambientes Linux, Windows e redes corporativas, acompanhe as publicações do SempreUpdate e mantenha sua estratégia de defesa sempre atualizada.
