Microsoft warnt seit dem Wochenende vor einer als „kritisch“ eingestuften Sicherheitslücke in seiner Authenticator-App für iOS und Android. Die Schwachstelle mit der Kennung CVE-2026-41615 erreicht einen CVSS-Score von 9,6 und erlaubt das Abgreifen eines Sign-in-Access-Tokens. Klingt technisch, ist aber unmissverständlich: Ein Angreifer kann sich am Geschäftskonto eines Mitarbeiters anmelden, ohne dessen Passwort zu kennen. Patches stehen bereit. Heute installieren.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenWas genau steckt hinter CVE-2026-41615?

Microsoft Authenticator ist eine der weltweit verbreitetsten Apps für Multi-Faktor-Authentifizierung. Über 75 Millionen Unternehmen nutzen Microsoft Entra ID, und ein erheblicher Teil ihrer Mitarbeiter authentifiziert sich über die Push-Bestätigung in der Authenticator-App. Die Lücke trifft also nicht eine Nische, sondern das Rückgrat der unternehmensweiten Identitätsprüfung.
Inhaltlich beschreibt Microsoft das Problem so: Die App gibt unter bestimmten Umständen den Anmelde-Zugriffstoken für das Geschäftskonto eines Nutzers preis. Ein solcher Token ist in der Sicherheitsarchitektur von Entra ID das Schlüsselstück.
Wer den Token besitzt, kann auf alle Dienste und Daten zugreifen, für die der zugehörige Nutzer autorisiert ist. Inklusive sensibler Unternehmensinformationen, SharePoint-Bibliotheken, Exchange-Postfächern oder Power-BI-Berichten. Die Multi-Faktor-Authentifizierung ist in diesem Moment unwirksam, weil der Angreifer mit dem Token an MFA vorbeiläuft.
Wie läuft der Angriff in der Praxis ab?

Die Angriffskette setzt Social Engineering voraus. Ein Angreifer leitet das Opfer auf eine gefälschte Microsoft-CAPTCHA- oder Login-Seite und bringt das Opfer dazu, eine legitim wirkende Authentifizierungsanfrage zu bestätigen. In dem Moment, in dem der Nutzer bestätigt, fordert die Authenticator-App im Namen des Angreifers einen Access-Token an und liefert ihn an einen vom Angreifer kontrollierten Server. Eindeutige Information für den Nutzer, welcher Dienst diesen Token gerade angefordert hat, gibt es nicht.
Die Schadsoftware-Forensik ist besonders perfide: Analyseumgebungen wie Selenium oder Puppeteer werden erkannt, und der Angriff versteckt sich vor automatischen Sicherheitstools. Das ist in der Praxis das, was Sicherheitsexperten als „Sandbox-aware Phishing“ bezeichnen.
Microsoft selbst stuft die Ausnutzungswahrscheinlichkeit für den Vektor als hoch ein, weil die Voraussetzungen niedrig sind: Eine überzeugende Phishing-Seite plus ein abgelenkter Mitarbeiter reichen. Im ersten Quartal 2026 hat Microsoft 8,3 Milliarden Phishing-Mails blockiert, 86 Prozent davon KI-gestützt.
Quishing über QR-Codes ist gegenüber dem Vorjahr um 150 Prozent gestiegen. Vor diesem Hintergrund verschiebt sich die Ausnutzungswahrscheinlichkeit für CVE-2026-41615 von theoretisch hoch zu praktisch sehr hoch.
Was sollten Sie heute tun?

Erstens: App-Versionen prüfen. Sicher sind Android-Versionen ab 6.2605.2973 und iOS-Versionen ab 6.8.47. In den App-Stores liefern Apple und Google die aktualisierten Versionen bereits aus. Wer automatische Updates deaktiviert hat, sollte die Aktualisierung manuell anstoßen. Im Apple App Store über das Account-Symbol, im Google Play Store über „Meine Apps und Spiele“ und dort „Updates verfügbar“.
Zweitens: Conditional-Access-Policies in Entra ID kurzfristig schärfen. Ein gerätegebundener Zugriff plus eine Zwei-Stufen-Prüfung mit Phishing-resistenter MFA, etwa Passkeys oder FIDO2-Hardware-Tokens, reduziert die Angriffsfläche erheblich. Auch die Deaktivierung des OAuth-Gerätecode-Flows ist eine Sofortmaßnahme, die viele Security-Teams aktuell empfehlen.
Drittens: Awareness-Training auffrischen. Sehr viele Phishing-Wellen kommen 2026 mit KI-generiertem Text und visuell überzeugenden Login-Seiten, die selbst geschulte Mitarbeiter täuschen. Der Hinweis, im Zweifel keine Authenticator-Anfrage zu bestätigen, von der das Ziel nicht klar erkennbar ist, gehört in jede aktuelle Schulung. Wer Cybersecurity systematisch im Unternehmen verankert, findet in den Cybersecurity-Grundlagen die passende Roadmap für KMU und im Cybersecurity-Glossar die 99 Pflichtbegriffe für 2026.
Was bedeutet die Lücke für die MFA-Strategie 2026?

CVE-2026-41615 ist nicht der erste Fall, in dem klassische Push-MFA zur Schwachstelle wird. Schon das sogenannte „MFA-Fatigue“-Phänomen, also wiederholte Push-Anfragen, bis ein genervter Nutzer auf „Genehmigen“ tippt, hat den Schwachpunkt sichtbar gemacht. CVE-2026-41615 ist ein technischer Beleg dafür, dass der Push-Mechanismus an seine Grenzen kommt.
Microsoft kommuniziert seit Anfang 2026 eine schrittweise Umstellung auf Passkeys als Standard-Authentifizierungsmethode. Ab März 2026 werden Passkey-Profile bei Entra-Tenants als Opt-in aktiviert, ab Juni automatisch. Die strategische Antwort auf CVE-2026-41615 lautet damit: weg von Push-MFA, hin zu Phishing-resistenter Authentifizierung. Für IT-Leiter ist das die richtige Gelegenheit, die eigene Identitätsarchitektur entsprechend nachzuziehen.
CVSS 9,6 bei einer App, die Multi-Faktor-Authentifizierung verspricht, ist eine bittere Pointe. Wer noch glaubt, Push-MFA sei Pflicht und Passkey-Migration Kür, wird die Lücke spätestens 2027 anders einschätzen. Heute updaten und dann den Migrationspfad anfangen.
— Michael Dobler, Herausgeber Dr. Web