Microsoft schließt kritische Sicherheitslücke in Entra ID mit Höchstbewertung

KI-Zusammenfassung

Microsoft hat eine kritische Sicherheitslücke in seinem Cloud-basierten Identitätsverwaltungssystem Entra ID geschlossen, die mit dem Maximalwert CVSS 10.0 von 10 bewertet wurde. Die als CVE-2026-35431 erfasste Schwachstelle handelt es sich um eine Server-Side-Request-Forgery (SSRF), die Angreifern aus externen Netzwerken Zugriff auf Ressourcen im geschützten lokalen Netzwerkbereich ermöglichte. Bösartige Akteure hätten dadurch Spoofing-Angriffe durchführen können; konkrete Angriffsszenarien nannte Microsoft nicht. Das Unternehmen schloss die Lücke bereits am vergangenen Donnerstag serverseitig, ohne dass Administratoren aktiv werden mussten. Die Schwachstelle war zuvor nicht öffentlich bekannt und laut Microsoft noch nicht ausgenutzt worden. Im Februar hatte Microsoft bereits mehrere kritische und hochriskante Lücken in Azure Arc, Azure Functions und Azure Front Door geschlossen.