Microsoft 365 Android: Debugging-Fehler ermöglichte Konto-Übernahme

Sicherheitsforscher haben einen schwerwiegenden Programmierfehler in mehreren Microsoft-365-Anwendungen für Android aufgedeckt. Das Problem hätte unbefugten Zugriff auf Benutzerkonten ermöglichen können.

Debugging-Einstellung blieb in Produktivversion aktiv

Die Sicherheitsfirma Enclave entdeckte den Fehler am 2. Juni 2026. Die Schwachstelle mit dem Namen „FlagLeft“ fand sich in den Android-Versionen von Word, Excel, PowerPoint, OneNote, Loop und Copilot. Eine Debugging-Einstellung war fälschlicherweise in der Produktivversion aktiv geblieben.

Anzeige: Wer die Auswirkungen der aktuellen Debugging-Lücke auf seine mobile Office-Umgebung prüfen will, findet im Report die wichtigsten Sicherheits-Hebel – von Konfigurations-Checkliste bis Patch-Management. Jetzt kostenlosen Sicherheits-Report anfordern

Die Folge: Die Einstellung deaktivierte wichtige Sicherheitsprüfungen für Token-Übertragungen. Dadurch konnten bösartige Apps auf demselben Gerät Microsoft-Konto-Tokens anfordern – ohne dass der Nutzer eingreifen musste. Diese Tokens gewähren Zugriff auf sensible Daten wie E-Mails, Dateien und Kalendereinträge.

Microsoft schloss die Sicherheitslücke am 12. Mai 2026 mit den Patches CVE-2026-41100, 41101, 41102 und 42832. Zwar konnten Forscher die Schwachstelle mit einer Proof-of-Concept-App demonstrieren, doch gibt es keine Hinweise auf eine tatsächliche Ausnutzung durch Angreifer. IT-Abteilungen wird dennoch empfohlen, alle mobilen Office-Apps auf den neuesten Stand zu bringen.

Phishing-as-a-Service im Visier des FBI

Nur wenige Tage zuvor hatte das FBI vor einer weiteren Gefahr gewarnt: der Phishing-as-a-Service-Plattform Kali365. Seit April 2026 zielt dieser Dienst gezielt auf Microsoft-365-Konten ab. Die Angreifer missbrauchen den legitimen Device-Code-Flow-Authentifizierungsprozess.

Opfer werden aufgefordert, einen Code auf einer offiziellen Microsoft-Website einzugeben. Das gewährt dem Angreifer ein OAuth-Token – Passwörter oder Multi-Faktor-Authentifizierung werden umgangen. Sicherheitsanalysten beobachten, dass Kali365 sein Geschäft inzwischen auf Okta Single Sign-On und die MAX-Messenger-Plattform ausgeweitet hat.

Die Infrastruktur umfasst 126 schädliche Hosts. Gestohlene Daten werden über Telegram abfließen. Der Zugang zur Plattform wird in Untergrundforen für umgerechnet rund 230 Euro pro Monat in Bitcoin verkauft.

Systemebene: Zwei weitere kritische Lücken

Am 4. Juni 2026 veröffentlichte Microsoft Updates für den Edge-Browser. Der Patch CVE-2026-45495 schließt eine kritische Schwachstelle, die Code-Ausführung durch manipulierte Feedback-Logdateien ermöglicht. Entdeckt wurde sie von Forschern von DEVCORE. Schon der Besuch einer präparierten Website reicht für einen Angriff aus.

Ebenfalls am 2. Juni 2026 aktualisierte die US-Cybersicherheitsbehörde CISA ihren Katalog bekannter ausgenutzter Schwachstellen. Neu aufgenommen wurde eine Zero-Day-Lücke im Android-Framework. Der Integer-Overflow-Fehler CVE-2025-48595 betrifft die Android-Versionen 14 bis 16 und ermöglicht lokale Rechteausweitung. Google hat mit dem Sicherheitsupdate vom Juni 2026 einen Patch bereitgestellt.

Anzeige: Phishing-as-a-Service wie Kali365 umgeht MFA und zielt gezielt auf Microsoft-365-Konten ab – Ihr Unternehmen braucht einen klaren Abwehr-Fahrplan. Dieser Leitfaden liefert Erkennungs-Muster und konkrete Schutzmaßnahmen. Phishing-Abwehr-Fahrplan jetzt sichern

Trend zu schwerwiegenderen Sicherheitslücken

Die jüngste Welle kritischer Patches bestätigt einen branchenweiten Trend. Laut einem Bericht von BeyondTrust für das Jahr 2025 sank die Gesamtzahl der Microsoft-Sicherheitslücken zwar um sechs Prozent auf 1.273. Die Zahl der kritischen Fehler verdoppelte sich jedoch von 78 auf 157.

Elevation of Privilege (Rechteausweitung) bleibt mit 40 Prozent die häufigste Schwachstellenkategorie. Besonders auffällig: Die Zahl der Sicherheitslücken im Office-Paket verdreifachte sich 2025, während Edge-Fehler deutlich zurückgingen. Die Entwicklung deutet auf eine strategische Verschiebung hin – Angreifer und Forscher konzentrieren sich zunehmend auf schwerwiegende Schwachstellen in Kernanwendungen und Cloud-Infrastrukturen.

de | wissenschaft | 69491499 |