Kritische Lücke in Microsoft Authenticator erlaubt Diebstahl von Sign-in-Tokens

KI-Zusammenfassung

Microsoft warnt vor einer kritischen Sicherheitslücke in der Authenticator-App, über die Angreifer Sign-in-Tokens für Arbeitskonten abgreifen und damit unbefugt auf Daten und Dienste zugreifen können. Für einen erfolgreichen Angriff müssen Opfer eine legitim wirkende, bösartige Anfrage bestätigen; anschließend liefert die App Zugriffstoken an einen vom Angreifer kontrollierten Dienst. Betroffene erhalten keine klare Information darüber, welcher Zugriff gewährt wurde. Microsoft bewertet die Schwachstelle mit CVSS 9.6 als "kritisch", das NIST mit 7.4 lediglich als "hoch". Aktualisierte Versionen stehen bereit: unter Android ab Version 6.2605.2973, unter iOS ab 6.8.47. Nutzer ohne automatische Updates müssen die Apps manuell über den jeweiligen Store installieren.