FortiClient EMS-attack pågår — dags att konsolidera till Intune
CERT-SE varnar för en kritisk FortiClient EMS-sårbarhet (CVE-2026-35616, CVSS 9.8) som utnyttjas aktivt. Om ni kör FortiClient EMS för endpoint management är det dags att planera om.
CERT-SE gick ut den här veckan med en varning om CVE-2026-35616 i Fortinet FortiClient EMS. CVSS 9.8, oautentiserad RCE, aktivt utnyttjad. Fortinet har släppt fix — men sårbarheten är så allvarlig att det inte räcker att bara patcha och fortsätta som vanligt.
En komprometterad EMS-server är ingen vanlig endpoint. Den styr konfigurationen på alla era Windows-klienter, har admin-nivå-åtkomst till operativsystemet, och används ofta som källa för device compliance mot Entra ID. Om angriparen äger EMS äger de fönsterflottan.
Varför det här träffar svenska SMB hårt
Många svenska bolag mellan 20 och 200 anställda valde Fortinet-stacken på 2010-talet — firewall, VPN och FortiClient EMS. Det var rationellt då. Men i en M365 Business Premium-värld 2026 gör den stacken mer skada än nytta: ni betalar för MDM i Intune men kör parallellt en separat EMS som är ett direkt angreppsmål.
Om ni redan har M365 Business Premium har ni Intune inkluderad. Det är bara att flytta över.
Vad ni ska göra nu
- Patcha EMS enligt Fortinets advisory samma dag.
- Gå igenom EMS-servern för indicators of compromise — scheduled tasks, nya admin-konton, ovanliga utgående anslutningar.
- Rotera alla tjänstekonton och credentials som EMS har haft tillgång till.
- Börja planera migrationen till Intune. Det här är tredje kritiska EMS-sårbarheten på 18 månader — mönstret är tydligt.
Att köra två endpoint-management-lösningar parallellt är dyrt, krångligt och ökar attackytan. Konsolidering till Intune är inte en smaksak längre.
Så hjälper HaggeBurger
Vi kör ett ½-dags assessment av er nuvarande EMS-setup, levererar ett konkret Intune-migrationsförslag med risker och tidslinje, och kan ta hela migrationen som fast pris på 2–4 veckor. Inga öppna räkningar.
Vill du att vi tittar på er miljö? Kontakta oss.