Microsoft-365-Apps: Debug-Fehler legt Millionen Konten offen

Die Bandbreite reicht von einem Programmierfehler in Microsoft-365-Apps bis hin zu einer aktiv ausgenutzten Zero-Day-Lücke im Android-Betriebssystem selbst.

Microsoft-Apps: Debug-Fehler legt Nutzerkonten offen

Am 3. Juni enthüllten Sicherheitsforscher von Enclave eine gravierende Schwachstelle namens "FlagLeft". Sie betrifft sechs wichtige Microsoft-365-Anwendungen für Android: Word, Excel, PowerPoint, OneNote, Loop und Copilot. Der Fehler geht auf eine Debug-Einstellung zurück – genauer gesagt auf das Flag "setIsDebugMode(true)" – das fälschlicherweise in den Produktionsversionen aktiviert blieb.

Anzeige: Der Debug-Fehler in Microsoft-365-Apps ermöglicht unbefugten Zugriff auf Authentifizierungstoken – ohne Nutzerinteraktion. Schützen Sie Ihre Unternehmenskonten mit den Sofortmaßnahmen aus diesem Report. Jetzt kostenlosen Sicherheits-Report anfordern

Die Folge: Jede andere auf dem Gerät installierte App konnte ohne Autorisierungsprüfung auf Authentifizierungstoken (sogenannte FOCI-Token) zugreifen. Angreifer erhielten so unberechtigten Zugriff auf Microsoft-Konten, konnten E-Mails lesen oder versenden, Teams-Nachrichten einsehen und auf Cloud-Dateien zugreifen – und das alles ohne Nutzerinteraktion.

Microsoft hat inzwischen Sicherheitsupdates für die betroffenen Apps veröffentlicht. Die Schwachstelle wird unter mehreren CVE-Identifikatoren geführt, darunter CVE-2026-41100, CVE-2026-41101, CVE-2026-41102 und CVE-2026-42832. Die Office-für-Android-Lücke erhielt einen CVSS-Schweregrad von 7,7, die einzelnen App-Fehler wurden zwischen 4,4 und 7,1 eingestuft.

Google schließt aktiv ausgenutzte Zero-Day-Lücke

Google veröffentlichte am 3. Juni sein Android-Sicherheitsupdate für Juni 2026 mit insgesamt 124 Patches. Im Zentrum steht die Behebung von CVE-2025-48595 – einem kritischen Integer-Overflow-Fehler im Android-Framework.

Die Schwachstelle mit einem CVSS-Wert von 8,4 ermöglicht eine Rechteausweitung und wird bereits in "gezielten, begrenzten" Angriffen ausgenutzt. Sicherheitsexperten warnen: Der Exploit benötigt keine Nutzerinteraktion und stellt damit eine "Zero-Click"-Bedrohung für Geräte mit Android 14, 15 und 16 dar.

Die US-amerikanische Cybersicherheitsbehörde CISA hat den Fehler am 2. Juni in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Bundesbehörden wurden angewiesen, die Juni-Updates bis zum 5. Juni einzuspielen. Das Update enthält zudem kritische Systemkorrekturen für CVE-2025-65018 (Rechteausweitung aus der Ferne) sowie Patches für Komponenten von Qualcomm, MediaTek und Unisoc.

KI-Chatbot als Einfallstor für Instagram-Übernahmen

Auch Meta musste nachbessern: Ein Sicherheitsloch im KI-Support-Chatbot ermöglichte Angreifern die Übernahme von Instagram-Konten. Am 3. Juni wurde bekannt, wie Hacker mit Prompt-Injection-Techniken den Chatbot dazu brachten, die hinterlegten Wiederherstellungs-E-Mail-Adressen zu ändern.

Der Trick erlaubte es Angreifern, Passwort-Resets auszulösen und legitime Nutzer auszusperren. Zu den prominenten Zielen gehörten Berichten zufolge das White-House-Konto eines ehemaligen US-Präsidenten sowie der Chief Master Sergeant der US Space Force. Meta gab an, das Problem bereits am 1. Juni behoben zu haben – doch am 2. Juni wurden weitere Angriffe gemeldet. Das Unternehmen verschickte daraufhin Benachrichtigungen und Passwort-Reset-Links an betroffene Nutzer.

Anzeige: Während Microsoft die FlagLeft-Lücke schließt, steigen mobile Malware-Angriffe auf Finanzinstitute um 67 %. Ihr Android-Sicherheitsaudit ist überfällig – dieser Leitfaden liefert die entscheidenden Prüfschritte. Android-Sicherheitsaudit jetzt sichern

Mobile Bedrohungslage verschärft sich

Neue Daten aus dem "Banking Heist Report 2026" von Zimperium, veröffentlicht am 4. Juni, zeigen eine zunehmende Fokussierung auf mobile Finanzziele. Die Firma verfolgte im Jahr 2025 insgesamt 34 aktive Malware-Familien, die weltweit über 1.200 Finanzinstitute angriffen. Android-Malware-basierte Finanztransaktionen stiegen demnach im Jahresvergleich um 67 Prozent.

Parallel dazu entdeckte Kaspersky am 3. Juni einen neuen Remote-Access-Trojaner namens "Argamal". Die Schadsoftware wird über getarnte Erwachsenenspiele auf Gaming-Foren und Torrent-Seiten verbreitet. Einmal installiert, verschafft Argamal Angreifern die vollständige Fernsteuerung des Geräts und Zugriff auf gespeicherte Zugangsdaten. Und Arctic Wolf Labs meldete eine Ausweitung der Kali365-Phishing-as-a-Service-Operation: Sie zielt nun auf Nutzer von Microsoft- und Okta-SSO-Diensten ab und exfiltriert Daten über Telegram.

de | wissenschaft | 69480331 |