Microsoft warnt seit dem Wochenende vor einer als „kritisch“ eingestuften Sicherheitslücke in seiner Authenticator-App für iOS und Android. Die Schwachstelle mit der Kennung CVE-2026-41615 erreicht einen CVSS-Score von 9,6 und erlaubt das Abgreifen eines Sign-in-Access-Tokens. Klingt technisch, ist aber unmissverständlich: Ein Angreifer kann sich am Geschäftskonto eines Mitarbeiters anmelden, ohne dessen Passwort zu kennen. Patches stehen bereit. Heute installieren.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Was genau steckt hinter CVE-2026-41615?

Ein Schlüssel mit Lederanhänger „Token“ liegt auf einem Umschlag mit Aufschrift „CONFIDENTIAL“
Microsoft Authenticator-Sicherheitslücke bedroht 75 Millionen Unternehmen weltweit, die auf Push-Bestätigung zur Authentifizierung verlassen

Microsoft Authenticator ist eine der weltweit verbreitetsten Apps für Multi-Faktor-Authentifizierung. Über 75 Millionen Unternehmen nutzen Microsoft Entra ID, und ein erheblicher Teil ihrer Mitarbeiter authentifiziert sich über die Push-Bestätigung in der Authenticator-App. Die Lücke trifft also nicht eine Nische, sondern das Rückgrat der unternehmensweiten Identitätsprüfung.

Inhaltlich beschreibt Microsoft das Problem so: Die App gibt unter bestimmten Umständen den Anmelde-Zugriffstoken für das Geschäftskonto eines Nutzers preis. Ein solcher Token ist in der Sicherheitsarchitektur von Entra ID das Schlüsselstück.

Wer den Token besitzt, kann auf alle Dienste und Daten zugreifen, für die der zugehörige Nutzer autorisiert ist. Inklusive sensibler Unternehmensinformationen, SharePoint-Bibliotheken, Exchange-Postfächern oder Power-BI-Berichten. Die Multi-Faktor-Authentifizierung ist in diesem Moment unwirksam, weil der Angreifer mit dem Token an MFA vorbeiläuft.

Wie läuft der Angriff in der Praxis ab?

Ein grauer Schlüssel-Umriss mit einem herausbrechenden orangefarbenen Steinchen auf weißem Grund
Angreifer täuschen Nutzer mit gefälschter Microsoft-Login-Seite und bringen sie dazu, Authentifizierungsanfragen zu bestätigen, um Access-Token zu stehlen

Die Angriffskette setzt Social Engineering voraus. Ein Angreifer leitet das Opfer auf eine gefälschte Microsoft-CAPTCHA- oder Login-Seite und bringt das Opfer dazu, eine legitim wirkende Authentifizierungsanfrage zu bestätigen. In dem Moment, in dem der Nutzer bestätigt, fordert die Authenticator-App im Namen des Angreifers einen Access-Token an und liefert ihn an einen vom Angreifer kontrollierten Server. Eindeutige Information für den Nutzer, welcher Dienst diesen Token gerade angefordert hat, gibt es nicht.

Die Schadsoftware-Forensik ist besonders perfide: Analyseumgebungen wie Selenium oder Puppeteer werden erkannt, und der Angriff versteckt sich vor automatischen Sicherheitstools. Das ist in der Praxis das, was Sicherheitsexperten als „Sandbox-aware Phishing“ bezeichnen.

Microsoft selbst stuft die Ausnutzungswahrscheinlichkeit für den Vektor als hoch ein, weil die Voraussetzungen niedrig sind: Eine überzeugende Phishing-Seite plus ein abgelenkter Mitarbeiter reichen. Im ersten Quartal 2026 hat Microsoft 8,3 Milliarden Phishing-Mails blockiert, 86 Prozent davon KI-gestützt.

Quishing über QR-Codes ist gegenüber dem Vorjahr um 150 Prozent gestiegen. Vor diesem Hintergrund verschiebt sich die Ausnutzungswahrscheinlichkeit für CVE-2026-41615 von theoretisch hoch zu praktisch sehr hoch.

Was sollten Sie heute tun?

Ein Vorhängeschloss aus Messing mit einer kleinen gehäkelten Hand aus oranger Wolle, die aus dem Schlüsselloch ragt, auf weißem Hintergrund
App-Versionen aktualisieren: Android ab 6.2605.2973 und iOS ab 6.8.47 sind sicher. Manuelle Updates im App Store oder Play Store durchführen

Erstens: App-Versionen prüfen. Sicher sind Android-Versionen ab 6.2605.2973 und iOS-Versionen ab 6.8.47. In den App-Stores liefern Apple und Google die aktualisierten Versionen bereits aus. Wer automatische Updates deaktiviert hat, sollte die Aktualisierung manuell anstoßen. Im Apple App Store über das Account-Symbol, im Google Play Store über „Meine Apps und Spiele“ und dort „Updates verfügbar“.

Zweitens: Conditional-Access-Policies in Entra ID kurzfristig schärfen. Ein gerätegebundener Zugriff plus eine Zwei-Stufen-Prüfung mit Phishing-resistenter MFA, etwa Passkeys oder FIDO2-Hardware-Tokens, reduziert die Angriffsfläche erheblich. Auch die Deaktivierung des OAuth-Gerätecode-Flows ist eine Sofortmaßnahme, die viele Security-Teams aktuell empfehlen.

Drittens: Awareness-Training auffrischen. Sehr viele Phishing-Wellen kommen 2026 mit KI-generiertem Text und visuell überzeugenden Login-Seiten, die selbst geschulte Mitarbeiter täuschen. Der Hinweis, im Zweifel keine Authenticator-Anfrage zu bestätigen, von der das Ziel nicht klar erkennbar ist, gehört in jede aktuelle Schulung. Wer Cybersecurity systematisch im Unternehmen verankert, findet in den Cybersecurity-Grundlagen die passende Roadmap für KMU und im Cybersecurity-Glossar die 99 Pflichtbegriffe für 2026.

Was bedeutet die Lücke für die MFA-Strategie 2026?

Altes Vorhängeschloss aus Messing und Eisen mit einem angebauten hölzernen Specht
Push-MFA zeigt Schwächen: CVE-2026-41615 bestätigt, dass der Authentifizierungsmechanismus an seine Grenzen stößt, ähnlich wie beim MFA-Fatigue-Phänomen

CVE-2026-41615 ist nicht der erste Fall, in dem klassische Push-MFA zur Schwachstelle wird. Schon das sogenannte „MFA-Fatigue“-Phänomen, also wiederholte Push-Anfragen, bis ein genervter Nutzer auf „Genehmigen“ tippt, hat den Schwachpunkt sichtbar gemacht. CVE-2026-41615 ist ein technischer Beleg dafür, dass der Push-Mechanismus an seine Grenzen kommt.

Microsoft kommuniziert seit Anfang 2026 eine schrittweise Umstellung auf Passkeys als Standard-Authentifizierungsmethode. Ab März 2026 werden Passkey-Profile bei Entra-Tenants als Opt-in aktiviert, ab Juni automatisch. Die strategische Antwort auf CVE-2026-41615 lautet damit: weg von Push-MFA, hin zu Phishing-resistenter Authentifizierung. Für IT-Leiter ist das die richtige Gelegenheit, die eigene Identitätsarchitektur entsprechend nachzuziehen.

CVSS 9,6 bei einer App, die Multi-Faktor-Authentifizierung verspricht, ist eine bittere Pointe. Wer noch glaubt, Push-MFA sei Pflicht und Passkey-Migration Kür, wird die Lücke spätestens 2027 anders einschätzen. Heute updaten und dann den Migrationspfad anfangen.

— Michael Dobler, Herausgeber Dr. Web
4,7 696 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?