Maximal möglicher Schweregrad: Microsoft-Umgebungen durch Entra-ID-Lücke gefährdet

Bei Entra ID gab es bis vor wenigen Tagen eine Sicherheitslücke mit Höchstwertung. Offenbar bestand ein Risiko für zahlreiche Microsoft-Dienste.

28. April 2026 um 12:39 Uhr / Marc Stöckel

Kommentare Auf Google folgen (öffnet im neuen Fenster)

Microsoft hat eine kritische Sicherheitslücke in Entra ID geschlossen. (Bild: SAUL LOEB/AFP via Getty Images) — Microsoft hat eine kritische Sicherheitslücke in Entra ID geschlossen. Bild: SAUL LOEB/AFP via Getty Images

Microsoft hat eine kritische Sicherheitslücke in seiner cloudbasierten Identitäts- und Zugriffsmanagement-Software Entra ID geschlossen. Angreifer hätten diese nach Angaben des Konzerns(öffnet im neuen Fenster) für nicht näher spezifizierte Spoofing-Angriffe missbrauchen können. Microsoft hat bereits einen Patch implementiert. Für Admins besteht kein weiterer Handlungsbedarf.

Die besagte Sicherheitslücke ist als CVE-2026-35431(öffnet im neuen Fenster) registriert und erreicht den maximal möglichen CVSS-Wert von 10 und damit einen kritischen Schweregrad. Es handelt sich laut Microsoft um eine SSRF-Lücke(öffnet im neuen Fenster) (Server-Side Request Forgery) im "Entitlement Management".

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Artificial Intelligence Summit der TÜV NORD Akademie

zum Kurs

E-Learning: PowerShell für Power-User:innen (E-Learning)

zum Kurs

Angreifer hätten diese für gezielte Spoofing-Angriffe nutzen können. Wie die im Detail ablaufen, erläutert Microsoft nicht. Gemäß CVSS-Einstufung brauchte ein Angreifer dafür aber vorab keinerlei Zugriffsrechte auf dem Zielsystem und konnte ohne jegliche Nutzerinteraktion aus der Ferne agieren. Die Angriffskomplexität ist zudem als gering eingestuft.

Fix bereits aktiv

Hinweise auf eine aktive Ausnutzung der Lücke gibt es laut Microsoft nicht. Mittlerweile dürfte die auch kein Thema mehr sein, da der Konzern CVE-2026-35431 nach eigenen Angaben am 23. April zentral gepatcht hat. "Diese Sicherheitslücke wurde von Microsoft bereits vollständig behoben. Für die Nutzer dieses Dienstes sind keine Maßnahmen erforderlich", schreibt Microsoft diesbezüglich.

Entra ID ist für Angreifer ein sehr attraktives Angriffsziel, da die Software den Zugang zu zahlreichen Microsoft-Diensten regelt. Erst im September 2025 hatte ein Sicherheitsforscher eine gefährliche Sicherheitslücke aufgedeckt, über die Angreifer unbemerkt nahezu jeden beliebigen Entra-ID-Tenant auf der ganzen Welt hätten kapern können. Aufgrund des hohen Gefahrenpotenzials reagierte Microsoft damals zügig und patchte die Lücke innerhalb weniger Tage.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Fix bereits aktiv

Relevante Themen