Hacker können Konten kapern: Lücke im Microsoft Authenticator ermöglicht Datenklau
Microsoft hat eine kritische Sicherheitslücke in seinen Authenticator-Apps für Android und iOS geschlossen. Angreifer können damit aus der Ferne in Nutzerkonten eindringen und an vertrauliche Daten gelangen. Die Angriffskomplexität wird dabei als gering eingestuft. Nutzer sollten den Microsoft Authenticator zügig auf die neueste Version aktualisieren, um sich vor möglichen Angriffen zu schützen.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-41615(öffnet im neuen Fenster). Microsoft schreibt ihr einen CVSS-Wert von 9,6 und damit einen kritischen Schweregrad zu. Dass keine Höchstwertung von 10 erreicht wird, liegt vor allem daran, dass Angreifer für eine erfolgreiche Ausnutzung auf eine Nutzerinteraktion angewiesen sind.
"Ein Angreifer könnte versuchen, einen Benutzer dazu zu verleiten, auf eine böswillige Anfrage zu reagieren, die legitim erscheint", schreibt Microsoft diesbezüglich in einer Sicherheitsmeldung(öffnet im neuen Fenster). Daraufhin könne die Authenticator-App im Namen des Benutzers ein Zugriffstoken anfordern und an ein vom Angreifer kontrolliertes System übermitteln, ohne dass der Benutzer deutlich über den Zugriff informiert werde.
Patches für iOS und Android
Dass ein Datenklau aus einer Authenticator-App potenziell weitreichend sein kann, liegt auf der Hand. Microsoft verweist diesbezüglich vor allem auf Risiken für Unternehmen. CVE-2026-41615 könne ein Sign-in-Zugriffstoken für das Arbeitskonto eines Benutzers offenlegen, heißt es im Security Advisory. Dieses Token könne anschließend für Zugriffe auf Daten und Dienste missbraucht werden, darunter möglicherweise auch vertrauliche Unternehmensdaten.
Sowohl für iOS(öffnet im neuen Fenster) als auch für Android(öffnet im neuen Fenster) stehen gepatchte Versionen der Microsoft-Authenticator-App bereit. Die Android-Variante gilt ab Version 6.2605.2973 als geschützt, die iOS-Variante ab Version 6.8.47.
Beide Versionen sind seit rund einer Woche verfügbar und dürften daher bei vielen Nutzern schon angekommen sein – insbesondere wenn auf dem jeweiligen Endgerät automatische Updates aktiviert sind. Wo dies nicht der Fall ist, sollte das Update zügig manuell heruntergeladen werden. Hinweise auf eine aktive Ausnutzung von CVE-2026-41615 gibt es bisher wohl nicht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.