Microsoft Authenticator: Sicherheitslücke und Müdigkeits-Attacken bedrohen Millionen

Die Sicherheit der weit verbreiteten Zwei-Faktor-Authentifizierung (MFA) steht vor einer kritischen Prüfung. Microsoft warnt vor einer neuen Angriffswelle auf seine Authenticator-App, die Millionen von Nutzern gefährdet – von Privatpersonen bis zu Großkonzernen.

Angesichts der aktuellen Sicherheitslücken bei Authentifizierungs-Apps ist ein grundlegender Schutz für mobile Endgeräte wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit fünf einfachen Maßnahmen gegen Datenklau und Hacker absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die „Deep-Link“-Falle: So kapern Hacker den Login

Im Zentrum der Krise steht eine spezifische Schwachstelle mit der Kennung CVE-2026-26123. Sie betrifft, wie die App auf iOS und Android sogenannte „Deep Links“ verarbeitet – also spezielle Aufrufe zur Bestätigung einer Anmeldung. Die Lücke ermöglicht es einer Schadsoftware auf demselben Gerät, die Login-Anfrage abzufangen. Statt zur legitimen Microsoft-App wird die Bestätigung an die bösartige App weitergeleitet.

Für einen erfolgreichen Angriff muss der Nutzer zuvor eine schädliche App installiert haben, die oft als nützliches Tool getarnt ist. Wird dann bei der Anmeldung bei Microsoft 365 eine MFA-Bestätigung angefordert, kann der Nutzer versehentlich den Hack auslösen. „Der Übergang ist nahtlos und für das ungeübte Auge unsichtbar. Das kann zu stillen Account-Übernahmen führen“, warnt ein Sicherheitsexperte. Microsoft hat das Problem bereits mit einem Update vom 10. März behoben. Doch viele Nutzer, besonders im privaten BYOD-Umfeld, haben die App noch nicht aktualisiert.

MFA-Fatigue: Wenn die Sicherheit zur Belastung wird

Parallel zur technischen Lücke verzeichnen Sicherheitsfirmen einen massiven Anstieg von „MFA-Fatigue“- oder „Push-Bombing“-Attacken. Dabei überschütten automatisierte Botnetze einen Nutzer mit Tausenden von Bestätigungsanfragen – bis dieser aus Verzweiflung oder versehentlich auf „Genehmigen“ tippt.

Diese Attacken werden zunehmend mit saisonalen Phishing-Kampagnen kombiniert. Zur aktuellen Steuerzeit locken Hacker mit gefälschten Dokumentenanfragen, um erst Passwörter zu stehlen und dann die MFA-Flut zu starten. Eine perfide Taktik, die den Sicherheitsmechanismus in eine Quelle der Frustration verwandelt. Als Gegenmaßnahme empfehlen Experten dringend die Aktivierung der Zahlenabgleich-Funktion (Number Matching) in der Authenticator-App. Sie verhindert versehentliche Genehmigungen.

Viele Android-Nutzer übersehen kritische Sicherheitslücken, die über einfache Software-Updates hinausgehen. Das kostenlose Sicherheitspaket bietet Ihnen leicht verständliche Schritt-für-Schritt-Anleitungen, um WhatsApp, Banking und sensible Daten zuverlässig vor Schadprogrammen zu schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Login-Loops und der Ausblick auf Passkeys

Viele Nutzer berichten zudem von technischen Problemen: Nach Handy-Wechseln oder System-Updates geraten sie in Login-Schleifen, aus denen sie nicht mehr herauskommen. Die App, die den Code liefern soll, benötigt selbst eine Anmeldung – die wiederum per MFA gesichert ist. Ein Teufelskreis, den nur ein Administrator-Reset durchbrechen kann.

Angesichts dieser Herausforderungen drängt Microsoft nun verstärkt auf den Wechsel zu phishing-resistenten Passkeys. Diese FIDO2-Schlüssel sind kryptografisch an ein Gerät und eine Webseite gebunden und damit immun gegen die aktuellen Angriffsmethoden. Die jüngsten Vorfälle könnten der Katalysator für einen breiteren Abschied von der App-basierten MFA sein.

Was Nutzer jetzt tun müssen:
1. Die Microsoft Authenticator-App sofort auf die neueste Version updaten.
2. Den Zahlenabgleich für alle Geschäfts- und Privatkonten aktivieren.
3. In den Sicherheitseinstellungen alte oder unbekannte Geräte entfernen.

Die Ereignisse der letzten Tage sind eine deutliche Mahnung: Selbst etablierte Sicherheitstools erfordern ständige Wachsamkeit und zeitnahe Updates.

boerse | 69044201 |