Seu antivírus pode ter sido o mecanismo que infectou toda a frota de endpoints. Não foi um hacker que invadiu cada máquina individualmente. Foi o próprio sistema de management que pushou o malware para cada endpoint gerenciado. Quando a ferramenta de segurança vira o canal de infecção, o modelo de confiança inverte.
CVE-2026-35616: o bug que inverte a confiança
FortiClient EMS é a plataforma centralizada que gerencia todos os endpoints de uma organização. Push de updates, políticas, configurações — tudo passa pelo EMS. É o ponto de controle. E por isso, é o alvo de maior valor.
A vulnerabilidade CVE-2026-35616 é um improper access control (CWE-284) com CVSS 9.1. Bypass de autenticação via API. Um atacante não autenticado obtém acesso privilegiado ao EMS server. Com esse acesso, usa as próprias funcionalidades de management para distribuir malware para todos os endpoints conectados. O antivírus vira o vetor de infecção.
A CISA adicionou a CVE ao KEV (Known Exploited Vulnerabilities) em abril de 2026. Fortinet lançou patches out-of-band. E 7 semanas depois, a exploração ativa continua. O patch existe. A distribuição não aconteceu na velocidade necessária. Atacantes continuam encontrando EMS expostos e não patchados.
O problema não é apenas técnico — é operacional. EMS é um sistema de management que exige janela de manutenção, coordenação entre equipes e muitas vezes reinício de serviços. Em organizações com centenas de endpoints, a janela entre "patch disponível" e "patch aplicado em toda a frota" pode ser de semanas. Atacantes operam dentro dessa janela.
A cadeia de ataque: EKZ Stealer via update falso
Arctic Wolf documentou em 28 de maio de 2026: atacantes exploram EMS não patchados para pushar EKZ Stealer disfarçado de update legítimo do Fortinet.
O binário se chama FortiEndpoint_Patch.exe. Parece um update legítimo. A cadeia de execução é:
fortitray.exe(processo legítimo do FortiClient) executa um script.cmd- O script invoca PowerShell com payload Base64
- PowerShell faz download e executa o stealer
- Dados são exfiltrados via HTTP POST para
83.138.53[.]110
O stealer coleta de browsers Chromium e Gecko: senhas salvas, cookies de sessão, dados de autofill, cartões de crédito, endereços e telefones. Os dados são escritos em log no diretório ProgramData antes da exfiltração. O binário parece limpo — a malícia está no script que ele invoca.
O uso de fortitray.exe como ponto de partida não é acidental. É um processo legítimo assinado pela Fortinet. Soluções de EDR que confiam em assinatura digital como indicador de confiança não vão flagrar esse comportamento. O atacante usa a confiança que o ecossistema Fortinet já estabeleceu contra ele mesmo.
O bypass de MFA que ninguém espera
Session cookies roubados permitem session reuse. O atacante não precisa de senha. Não precisa de segundo fator. Reutiliza a sessão ativa do usuário.
Em ambientes enterprise onde MFA é a linha de defesa principal, o roubo de session cookies é equivalente a bypassar MFA completamente. A autenticação multifator protege o momento do login. Não protege a sessão já estabelecida. E é exatamente isso que o EKZ Stealer explora: ele rouba o cookie que prova que o usuário já se autenticou.
Isso muda o cálculo de risco. Se sua organização depende de MFA como controle principal e não tem proteção de session tokens, a cadeia de defesa tem um elo que ninguém estava monitorando.
O cenário se agrava quando se considera que os cookies de sessão roubados podem dar acesso a email corporativo, portais internos, sistemas de ERP e plataformas cloud. Um único cookie de sessão do O365 ou Google Workspace pode ser a chave para acesso lateral a toda a infraestrutura. O EKZ Stealer não rouba apenas credenciais — rouba o contexto de autenticação completo.
A cronologia que importa
Abril de 2026: Fortinet lança patches out-of-band. CISA adiciona ao KEV. A mensagem é clara — exploração ativa confirmada, patch obrigatório.
Sete semanas depois: Arctic Wolf documenta exploração ativa continuada. EMS expostos continuam sendo encontrados e comprometidos. O patch fecha a janela para nova exploração. Mas não faz nada para instâncias já comprometidas.
Aqui está a pergunta que poucos estão fazendo: o que foi pushado antes do upgrade? Quais credenciais foram roubadas durante a janela de exposição? "Patcheamos" é uma afirmação sobre risco futuro. A pergunta sobre estado presente é: o que já aconteceu enquanto estávamos vulneráveis?
Só se responde com telemetry, hunting e rotação de credenciais. O patch é necessário. Não é suficiente.
A discrepância entre "patch disponível" e "ambiente seguro" é onde os atacantes operam. Eles não precisam de zero-day quando a janela de patching é de semanas. Precisam de EMS exposto, e há muitos.
A lição estrutural
Software com privilégios elevados em cada endpoint é alvo de alto valor exatamente por causa desses privilégios. FortiClient EMS tem acesso de management a toda a frota. Quando esse acesso é comprometido, o raio de impacto é total — não um endpoint, mas todos.
Quando a ferramenta de segurança vira o mecanismo de ataque, o modelo de confiança inverte. O agente que deveria proteger se torna o vetor de infecção. E a infraestrutura que deveria isolar se torna o canal de distribuição.
Na Tech86, auditamos infraestrutura de endpoints e substituímos EMS comprometidos por arquiteturas com isolamento real entre o plano de management e os endpoints. Seu antivírus não pode ser o vetor de infecção. Se pode, a arquitetura está errada.