Datenschutz & Sicherheit
Microsoft Authenticator: Kritische Sicherheitslücke ermöglicht Token-Diebstahl
In Microsofts Authenticator können Angreifer eine kritische Sicherheitslücke missbrauchen, um an Sign-in-Tokens zu gelangen. Damit gelingt der unbefugte Zugriff auf Ressourcen. Aktualisierte Apps stehen bereit.
Weiterlesen nach der Anzeige
Der Schwachstelleneintrag von Microsoft erörtert das Problem grob. Sensible Informationen können demnach an unbefugte Akteure gelangen, da Microsoft Authenticator Informationen an Angreifer über das Netzwerk preisgibt. In der FAQ erklärt Microsoft, dass die Schwachstelle das Sign-in-Token zum Arbeitskonto von Nutzerinnen und Nutzern offenlegen kann. Damit erlangen Unbefugte Zugriff auf Daten und Diensten, auf die das Benutzerkonto zugreifen darf, darunter potenziell auch sensible Unternehmensinformationen.
Zum Missbrauch der Lücke müssen Angreifer ein Opfer dazu bringen, mit einer legitim erscheinenden, bösartigen Anfrage zu interagieren. Sobald Nutzer die Anfrage bestätigen, können Angreifer die App dazu bringen, Zugriffstoken im Namen der Nutzer anzufordern, um sie an einen Dienst auszuliefern, der unter der Kontrolle der Angreifer steht. Betroffene erhalten keine klaren Informationen, welcher Zugriff gewährt wurde (CVE-2026-41615, CVSS 9.6, Risiko „kritisch“). Das NIST kommt im NVD-Listeneintrag jedoch mit CVSS 7.4 lediglich auf das Risiko „hoch“.
Microsoft Authenticator: Updates verfügbar
Aktualisierte Versionen des Authenticators von Microsoft stehen in den jeweiligen App-Stores bereit. Unter Android löst die Version 6.2605.2973 und neuer das Problem, unter iOS die Software ab Stand 6.8.47. Wer die automatischen App-Updates des Mobilbetriebssystems aktiviert hat, erhält das Update automatisch. Wer das deaktiviert hat, muss den Google Play Store oder den iOS-App-Store öffnen und dort die aktualisierten Apps herunterladen und installieren.
Microsoft führt weiter aus, dass die Schwachstelle bislang noch nicht missbraucht wurde. Es steht bislang auch kein Exploit öffentlich zur Verfügung. Dennoch sollten Nutzer und Nutzerinnen des Microsoft Authenticators sicherstellen, die aktuelle Fassung einzusetzen. Die aktuelle Version zeigt der Authenticator im App-Menü unter „Hilfe“ an, dort etwas tiefer unter „Info“ – „Anwendungsversion“.
(dmk)