Fehler in Microsoft-365-Apps für Android legte Authentifizierungs-Token offen

Nach Angaben von Enclave wurde die Schwachstelle durch eine Testeinstellung verursacht, die versehentlich in sechs Microsoft-Apps für Android aktiviert blieb: Word, OneNote, PowerPoint, Excel, Loop und 365 Copilot. Enclave-Mitgründer und Produktchef Yanir Tsarimi erklärte gegenüber Dark Reading, diese Einstellung sei dafür gedacht gewesen, andere Apps daran zu hindern, das Login eines Nutzers zu übernehmen.

Tatsächlich bewirkte die aktivierte Debug-Konfiguration laut Enclave das Gegenteil: Eine Autorisierungsprüfung für die Übergabe von Authentifizierungs-Token wurde deaktiviert. Diese Token-Weitergabe ist Teil der Anmeldefunktion zwischen Microsoft-Apps auf demselben Gerät. Voraussetzung dafür ist jedoch, dass nur vertrauenswürdige Anwendungen an diesem Austausch teilnehmen. Genau diese Vertrauensprüfung fiel weg.

Besonders problematisch war laut Enclave, dass der fehlerhafte Code in einem gemeinsam genutzten Software Development Kit von Microsoft steckte. Dadurch ließ sich der Zugriff nicht nur in einer einzelnen App ausnutzen, sondern appübergreifend in mehreren Microsoft-Anwendungen replizieren. Mit umgangenem Schutz konnte demnach grundsätzlich jede Android-App, die ein Token anfordern konnte, Microsoft-Anmeldedaten erhalten.

Tsarimi beschrieb das mögliche Angriffsszenario so: Eine andere App auf dem Smartphone hätte die Microsoft-Anmeldung anfordern und erhalten können. Bei allen sechs betroffenen Anwendungen hätte ein Angreifer E-Mails lesen können. Bei einigen Apps wären darüber hinaus laut Tsarimi auch das Versenden von E-Mails, das Lesen von Teams-Nachrichten oder der Zugriff auf Dateien möglich gewesen.

Der technische Aufwand für eine Ausnutzung wäre nach Einschätzung von Enclave gering gewesen. Ein Angreifer hätte lediglich eine Android-App verteilen oder aktualisieren müssen, die eine kleine Routine zum Anfordern von Token enthält. Die betroffene Microsoft-App hätte das Token dann ohne Prüfung des anfragenden Programms zurückgegeben. Anschließend hätte das Token exfiltriert und für den Zugriff auf Ressourcen in anderen Microsoft-365-Apps genutzt werden können.

Hinzu kommt laut Tsarimi, dass es sich bei den offengelegten Token um sogenannte FOCI-Token handelte. Diese lassen sich über lange Zeit wiederverwenden und aktualisieren, ohne aufzufallen. Auch der zugehörige Datenverkehr und die Protokolle hätten laut seinem Blogbeitrag “genau wie normal” ausgesehen.

Enclave legte den Fehler nach eigenen Angaben verantwortungsvoll gegenüber Microsoft offen. Der Hersteller hat die Schwachstellen inzwischen behoben und unter den Kennungen CVE-2026-41100, CVE-2026-41101, CVE-2026-41102 und CVE-2026-42832 erfasst. Microsoft reagierte auf eine Anfrage von Dark Reading zunächst nicht mit einer Stellungnahme.

Für Ted Miracco, CEO von Approov, unterstreicht der Fall ein grundlegendes Problem im Umgang mit Authentifizierungs-Token. Gegenüber Dark Reading sagte er, Backend-Systeme behandelten solche Token zu oft als Vertrauensbeweis. Jede Schwäche, die das Abfangen und die Wiederverwendung dieser Token ermögliche, untergrabe die Sicherheitsannahmen nachgelagerter Dienste und Daten.