Multi-Faktor-Authentifizierung gilt in der modernen IT-Infrastruktur als unverzichtbarer Standard, um sensible Unternehmensdaten vor unbefugtem Zugriff zu schützen. Doch selbst Sicherheitsanwendungen sind vor Schwachstellen nicht gefeit, wie ein aktueller Fall zeigt. Microsoft warnt vor einer schwerwiegenden Sicherheitslücke in der Microsoft Authenticator App, die sowohl die Android- als auch die iOS-Plattform betrifft. Da die App in zahlreichen kleinen und mittleren Unternehmen (KMU) sowie in IT-Abteilungen zur Absicherung von Arbeitskonten wie Microsoft 365 oder Entra ID (ehemals Azure AD) eingesetzt wird, besteht akuter Handlungsbedarf für IT-Verantwortliche und die Geschäftsführung.
Die Schwachstelle ermöglicht es Angreifern unter bestimmten Voraussetzungen, sogenannte Sign-in-Token abzugreifen und damit die Sicherheitsbarrieren der Multi-Faktor-Authentifizierung (MFA) komplett zu umgehen. Da über diese Token der Zugriff auf kritische Dienste wie E-Mail-Postfächer, SharePoint-Verzeichnisse und Teams-Kanäle erfolgt, ist das potenzielle Schadensausmaß für betroffene Organisationen enorm. Eine Überprüfung der installierten App-Versionen auf allen geschäftlich genutzten Mobilgeräten sollte daher unverzüglich vorgenommen werden.
Die technischen Details der Schwachstelle CVE-2026-41615
Die aktuelle Sicherheitswarnung betrifft die Schwachstelle mit der offiziellen Kennung CVE-2026-41615. Microsoft stuft den Schweregrad dieses Sicherheitsproblems selbst als kritisch ein und vergibt im Common Vulnerability Scoring System (CVSS) einen sehr hohen Score von 9,6 von 10 möglichen Punkten. Diese Einstufung verdeutlicht das immense Risiko, das von einer potenziellen Ausnutzung der Lücke ausgeht. Das National Institute of Standards and Technology (NIST) listet die Schwachstelle ebenfalls mit hoher Priorität.
Wie funktioniert der potenzielle Angriff?
Das Kernproblem der Schwachstelle liegt in einer fehlerhaften Offenlegung sensibler Informationen über das Netzwerk. Ein Angreifer kann die App dazu bringen, unbemerkt ein gültiges Zugriffstoken des betroffenen Arbeitskontos an ein vom Angreifer kontrolliertes System zu übermitteln. Der Ablauf eines solchen Angriffs lässt sich in folgende Schritte unterteilen:
- Social Engineering: Der Angreifer muss das Opfer zunächst dazu verleiten, eine scheinbar legitime, in Wahrheit jedoch böswillige Anfrage innerhalb der Authenticator-App zu bestätigen.
- Token-Generierung: Sobald der Benutzer die Anfrage auf dem Smartphone akzeptiert, generiert die fehlerhafte App-Version das Anmelde-Token für das verknüpfte Arbeitskonto.
- Datenabfluss: Statt das Token ausschließlich für die legitime Authentifizierung zu nutzen, sendet die App dieses sensible Identifikationsmerkmal über das Netzwerk an den Server des Angreifers.
- Unbemerktes Eindringen: Der betroffene Nutzer erhält keine klare Rückmeldung oder Warnung darüber, welcher weitreichende Zugriff im Hintergrund tatsächlich gewährt wurde.
Da der Angriff keine hohe technische Komplexität aufweist, sondern primär auf der Manipulation des Anwenders basiert, wird die Komplexität des Exploits als gering eingestuft. Sobald das Token in die Hände unbefugter Akteure gelangt, können sich diese als der legitime Mitarbeiter ausgeben und tief in die Cloud-Infrastruktur des Unternehmens eindringen – ganz ohne die Eingabe von Passwörtern oder die erneute Abfrage von Sicherheitsfaktoren.
Warum Unternehmen jetzt schnell handeln müssen
Für kleine und mittlere Unternehmen stellt diese Sicherheitslücke ein erhebliches Cyber-Risiko dar. Im Gegensatz zu privaten Konten hängen an geschäftlichen Microsoft-365- oder Entra-ID-Identitäten oft die gesamten Betriebsabläufe, vertrauliche Kundendaten, Finanzdaten und strategische Dokumente.
Das Risiko von BYOD-Umgebungen (Bring Your Own Device)
Besonders brisant ist die Situation in Organisationen, die eine sogenannte BYOD-Strategie verfolgen. Wenn Mitarbeiter ihre privaten Smartphones nutzen, um geschäftliche E-Mails zu lesen oder auf das Firmennetzwerk zuzugreifen, entzieht sich die Aktualisierung von Apps häufig der direkten Kontrolle der internen IT-Abteilung. Ist auf den privaten Geräten die automatische Update-Funktion für den Google Play Store oder den Apple App Store deaktiviert, verbleiben die veralteten, verwundbaren Versionen des Microsoft Authenticators oft über Wochen oder Monate auf den Geräten. Dies öffnet Cyberkriminellen ein gefährliches Einfallstor in das gesamte Unternehmensnetzwerk.
Sicherheitsstatus prüfen: Welche Versionen sind geschützt?
Microsoft hat bereits reagiert und fehlerbereinigte Versionen der App bereitgestellt. IT-Manager müssen nun sicherstellen, dass auf allen Endgeräten im Unternehmen mindestens die folgenden Versionsnummern installiert sind:
- Android-Geräte: Die sichere Anwendung trägt die Versionsnummer 6.2605.2973 oder höher.
- iOS-Geräte (Apple): Die sichere Anwendung trägt die Versionsnummer 6.8.47 oder höher.
Befindet sich eine App-Version auf einem Gerät, die eine niedrigere Nummer aufweist, ist das System anfällig für den beschriebenen Token-Diebstahl und muss zwingend aktualisiert werden.
Anleitung zur Behebung: So werden Updates durchgeführt
Grundsätzlich empfiehlt es sich aus Sicherheitsgründen, die automatische Aktualisierung von Applikationen auf allen geschäftlich genutzten Mobilgeräten standardmäßig zu aktivieren. Sollte dies in der Vergangenheit deaktiviert worden sein, kann die manuelle Überprüfung und Aktivierung wie folgt durchgeführt werden:
Automatische Updates unter Android aktivieren
- Die Google Play Store App auf dem Endgerät öffnen.
- Auf das Profilbild in der rechten oberen Ecke tippen.
- Zum Menüpunkt „Einstellungen“ navigieren und die „Netzwerkeinstellungen“ öffnen.
- Den Punkt „Apps automatisch aktualisieren“ auswählen.
- Eine passende Option festlegen, beispielsweise „Nur über WLAN aktualisieren“, um das mobile Datenvolumen zu schonen.
Automatische Updates unter iOS (Apple) überprüfen
Bei iOS-Geräten werden sowohl vorinstallierte als auch selbst installierte Anwendungen im Regelfall standardmäßig im Hintergrund aktualisiert. Zur Überprüfung der Einstellungen sind folgende Schritte notwendig:
- Die allgemeinen „Einstellungen“ des iPhones oder iPads öffnen.
- Zum Bereich „Apps“ bzw. „App Store“ navigieren.
- Unter der Kategorie „App-Updates“ sicherstellen, dass der entsprechende Schieberegler auf Grün steht.
Sollten die automatischen Mechanismen nicht sofort greifen, kann der Microsoft Authenticator in beiden App-Stores auch direkt gesucht und über die Schaltfläche „Aktualisieren“ manuell auf den neuesten Stand gebracht werden.
Nachhaltige Absicherung durch professionelles Mobile Device Management
Der aktuelle Vorfall rund um den Microsoft Authenticator verdeutlicht, dass punktuelle Sicherheitsmaßnahmen und das Vertrauen auf die Eigeninitiative der Mitarbeiter im geschäftlichen Umfeld unzureichend sind. Um eine lückenlose IT-Sicherheit zu gewährleisten, sollten Unternehmen auf automatisierte Steuerungswerkzeuge setzen.
Durch den Einsatz von professionellen Systemen zum Mobile Device Management (MDM) oder Mobile Application Management (MAM) behält die IT-Abteilung jederzeit die volle Kontrolle über die installierte Softwarelandschaft. Über zentrale Dashboards lässt sich softwaregestützt prüfen, welche Versionen des Authenticators auf den registrierten Smartphones aktiv sind. Zudem bieten moderne MDM-Lösungen die Möglichkeit, Mindestversionen für den Zugriff auf Unternehmensressourcen zu erzwingen. Erfüllt ein Gerät diese Kriterien nicht – weil beispielsweise ein kritisches Sicherheitsupdate fehlt –, wird dem Anwender der Zugriff auf Microsoft 365, Teams und SharePoint so lange automatisch verwehrt, bis das Update installiert wurde. Dies schützt die Organisation effektiv vor den Risiken veralteter Softwarekomponenten.
DIGITALBÜRO LIMBURG – Maximale Cloud-Sicherheit durch automatisierte App-Updates und MDM – denn We make IT easy & smart. 🚀
Möchten Sie Ihre mobilen Endgeräte zentral absichern und kritische Sicherheitslücken wie im Microsoft Authenticator automatisiert schließen? Lassen Sie sich jetzt von den Experten des DIGITALBÜRO LIMBURG zu modernen Mobile-Device-Management-Lösungen beraten.