MalwareSchwachstellenHackerangriffe

Kritische FortiClient-Lücke: Angreifer verteilen Passwort-Stealer über Endpoint-Manager

Von CyberDeutsch Redaktion
Kritische FortiClient-Lücke: Angreifer verteilen Passwort-Stealer über Endpoint-Manager
Zusammenfassung

Eine kritische Sicherheitslücke im Fortinet FortiClient Endpoint Management Server (EMS) wird derzeit aktiv von Angreifern ausgenutzt, um Malware zur Diebstahl von Zugangsdaten auf verwalteten Systemen einzuschleusen. Die Schwachstelle CVE-2026-35616 mit einem CVSS-Score von 9,1 ermöglicht es Angreifern, die API-Authentifizierung zu umgehen und Privilegien zu eskalieren. Das Perfide an dieser Kampagne: Die Bedrohungsakteure nutzen die vertrauenswürdige Endpoint-Management-Infrastruktur selbst, um einen Windows-Informationsstealer namens „FortiEndpoint_Patch.exe" als vermeintliches Sicherheitsupdate zu verteilen. Einmal aktiviert, stiehlt die Malware sensible Daten wie Passwörter, Cookies und Kreditkartendaten aus gängigen Browsern. Für deutsche Unternehmen und Behörden, die FortiClient EMS zur Verwaltung ihrer Endpoint-Flotten einsetzen, stellt dies eine erhebliche Bedrohung dar: Ein erfolgreicher Angriff könnte Angreifern Zugang zu hunderten oder tausenden verwalteter Geräte verschaffen. Die bereits von Fortinet bereitgestellte Aktualisierung auf Version 7.4.7 oder höher ist daher dringend erforderlich, um diese kritische Anfälligkeit zu schließen.

Die Angriffskampagne nutzt eine besonders perfide Methode: Threat Actors exploitieren CVE-2026-35616, eine Pre-Authentication-API-Schwachstelle in FortiClient EMS, um ohne gültige Anmeldedaten administrative Privilegien zu erlangen. Nach erfolgreichem Eindringen manipulieren die Angreifer gezielt die Endpunkt-Verwaltungskonfigurationen — insbesondere, um Firmware-Update-Erinnerungen zu unterdrücken und böswillige PowerShell-Skripte in die Remote-Access-Profile einzuschleusen.

Besonders raffiniert ist die Execution-Methode: Das Team nutzt “fortitray.exe”, ein legitimes Fortinet-Executable, um eine .cmd-Datei auszuführen. Diese wiederum startet ein Base64-kodiertes PowerShell-Skript, das den finalen Malware-Payload von der Angreifer-Infrastruktur (83.138.53[.]110) herunterlädt und ausführt. Die Malware selbst, getarnt als “FortiEndpoint_Patch.exe”, ist ein bislang unbekannter Windows-Information-Stealer.

Das Schadprogramm ist hocheffektiv: Es harvesiert Passwörter, Browser-Cookies und Autofill-Daten aus Chromium- und Firefox-basierten Browsern — einschließlich Kreditkartennummern, Adressen und Telefonnummern. Die erbeuteten Daten werden zunächst lokal im ProgramData-Verzeichnis gespeichert und anschließend via HTTP-POST zum Angreifer übertragen.

Die Konsequenzen sind gravierend: Arctic Wolf warnt, dass Session-Cookies und gespeicherte Browser-Anmeldedaten Cyberkriminellen Zugang zu Cloud-Services, internen Anwendungen und authentifizierten Ressourcen verschaffen. Besonders problematisch: Wiederverwendete Sessions können sogar Multi-Faktor-Authentifizierung umgehen.

Für deutsche Organisationen bedeutet dies eine doppelte Bedrohung. Erstens müssen IT-Administratoren sofort überprüfen, ob FortiClient EMS-Versionen älter als 7.4.7 im Einsatz sind. Zweitens sind Unternehmen zur Meldung von Datenschutzverstößen verpflichtet — insbesondere wenn personenbezogene oder Zahlungsdaten kompromittiert wurden. Das BSI empfiehlt zudem, betroffene Systeme auf Indikatoren des Compromising zu untersuchen und Passwort-Reset-Kampagnen durchzuführen.

Die Lücke zeigt ein fundamentales Risiko: Wenn sich Angreifer erst einmal in der Verwaltungsebene festsetzen, wird jedes verwaltete Endgerät zur potenziellen Waffe — ohne separate Intrusion pro Gerät nötig zu haben.

Ähnliche Artikel