Microsoft Authenticator: Kritische Lücke ermöglicht Token-Diebstahl
Microsoft hat eine kritische Sicherheitslücke im Microsoft Authenticator geschlossen, die Angreifern ermöglicht, Sign-in-Token für Arbeitskonten abzugreifen. Betroffen sind die iOS- und Android-Apps. Updates stehen in den App-Stores bereit und sollten umgehend eingespielt werden.
Was ist passiert?
Die Schwachstelle trägt die Kennung CVE-2026-41615 und wurde von Microsoft mit einem CVSS-Score von 9.6 als kritisch eingestuft. Microsoft hat die Lücke am 14. Mai 2026 veröffentlicht. Das NIST bewertet die Schwachstelle in seinem NVD-Eintrag mit einem CVSS-Score von 7.4 (hoch), da die eigene Analyse noch aussteht.
Das Problem: Der Microsoft Authenticator gibt über das Netzwerk sensible Informationen an unbefugte Akteure preis. Im konkreten Fall handelt es sich um das Sign-in-Token des Arbeitskontos. Wer dieses Token in der Hand hält, kann auf alle Dienste und Daten zugreifen, für die das Konto berechtigt ist. Das kann E-Mail, SharePoint, Teams oder andere M365-Dienste umfassen.
Wie funktioniert der Angriff?
Ein Exploit ist bisher nicht öffentlich verfügbar, und Microsoft bestätigt, dass die Lücke noch nicht aktiv ausgenutzt wurde. Der Angriffsweg ist dennoch klar beschrieben: Angreifer müssen das Opfer dazu bringen, eine legitim aussehende, bösartige Anfrage im Authenticator zu bestätigen. Sobald der Nutzer diese Anfrage akzeptiert, bringt der Angreifer die App dazu, im Namen des Nutzers ein Zugriffstoken anzufordern und dieses an einen Server unter der Kontrolle des Angreifers zu senden.
Besonders tückisch: Der betroffene Nutzer erhält dabei keine klare Rückmeldung darüber, welcher Zugriff tatsächlich gewährt wurde. Es handelt sich um einen klassischen OAuth-Missbrauch, bei dem Social Engineering die technische Schutzmaßnahme aushebelt.
Für Unternehmen mit BYOD-Umgebungen ist das ein besonderes Risiko. Wenn Mitarbeiter den Authenticator auf privaten Smartphones nutzen, um sich für Unternehmensressourcen zu authentifizieren, hat die IT-Abteilung möglicherweise keinen Einblick, ob die App aktuell gehalten wird.
Wer ist betroffen?
Alle Nutzer des Microsoft Authenticators auf Android und iOS, die eine ältere Version als die gepatchte Fassung einsetzen. Besonders relevant ist die Lücke für Organisationen, die Entra ID (ehemals Azure AD) und Microsoft 365 einsetzen, da ein gestohlenes Token dort direkten Zugriff auf zahlreiche Dienste eröffnet.
- Microsoft Authenticator auf Android auf Version 6.2605.2973 oder neuer aktualisieren
- Sicherstellen, dass alle Mitarbeiter den Authenticator auf die gepatchte Version aktualisiert haben
- Microsoft Authenticator auf iOS auf Version 6.8.47 oder neuer aktualisieren
- Mobile Application Management (MAM) oder Mobile Device Management (MDM) nutzen, um Mindestversionen für den Authenticator durchzusetzen
