Eine Push-Meldung auf Deinem Handy: «Anmeldung bestätigen?» Du sitzt im Zug, halb bei den Mails, halb beim Kaffee. Sieht aus wie jeden Morgen. Du tippst auf Bestätigen. Genau dieser eine Fingertipp ist das Einfallstor für eine Schwachstelle in Microsoft Authenticator, die Microsoft selbst mit 9.6 von 10 Punkten bewertet — kritisch.
Die Lücke trägt die Kennung CVE-2026-41615 und steckt ausgerechnet in der App, die Deine Konten schützen soll. Heise berichtet darüber am 18. Mai 2026, Microsoft hat die korrigierten Versionen bereits in die App-Stores gestellt. Bemerkenswert am Rande: Das NIST stuft dieselbe Lücke nur mit 7.4 ein — «hoch» statt «kritisch». Aber ob 7.4 oder 9.6, die Konsequenz für Dich ist dieselbe: Update einspielen, heute.
Was da schiefgehen kann
Der Angriff braucht Deine Mithilfe — und genau das macht ihn tückisch. Die Mechanik in drei Schritten:
- Der Köder. Angreifer bringen Dich dazu, mit einer legitim erscheinenden, bösartigen Anfrage zu interagieren. Das kann eine Push-Bestätigung sein, die exakt so aussieht wie die hundert echten davor.
- Die Übernahme. Nach Deiner Bestätigung können die Angreifer die App dazu bringen, Zugriffstoken in Deinem Namen anzufordern.
- Die Beute. Das Sign-in-Token zu Deinem Arbeitskonto wird offengelegt. Wer dieses Token hat, kommt an die zugeordneten Daten und Dienste — ohne je Dein Passwort zu kennen.
Ein Token ist im Grunde ein digitaler Garderobenzettel: Wer ihn vorzeigt, bekommt den Mantel. Niemand fragt mehr, ob es wirklich Deiner ist.
Bist Du betroffen?
Verwundbar sind die Versionen vor diesen Ständen:
- Android. Alle Versionen vor
6.2605.2973. - iOS. Alle Versionen vor
6.8.47.
Die gute Nachricht: Bislang ist kein Exploit öffentlich verfügbar und es sind keine missbrauchten Fälle bekannt. Das ist Dein Zeitfenster — aber es schliesst sich. Sobald eine Lücke samt CVE-Nummer publik ist, beginnt auf der Gegenseite das Wettrennen.
So prüfst Du Deine Version — zwei Minuten, mehr nicht
Android: Play Store öffnen, nach Microsoft Authenticator suchen. Steht dort «Aktualisieren», tippst Du drauf. Die installierte Version findest Du in der App unter Einstellungen, ganz unten.
iOS: App Store öffnen, auf Dein Profilbild oben rechts tippen, Liste der verfügbaren Updates durchsehen. Taucht Authenticator dort auf, aktualisieren.
Und wenn Du schon dabei bist: Schalte automatische App-Updates ein. Die meisten Lücken dieser Art sind längst gestopft, bevor jemand sie ausnutzt — aber nur bei denen, deren Apps sich selbst aktuell halten.
Warum gerade diese App zählt
Die Authenticator-App ist Deine letzte Verteidigungslinie. Wenn ein Passwort geklaut wird — und Passwörter werden ständig geklaut —, ist die Zwei-Faktor-Bestätigung das, was zwischen dem Dieb und Deinem Konto steht. Eine Lücke an genau dieser Stelle ist, als hätte die Tresortür ein Schloss, das sich mit einem freundlichen Klopfen öffnen lässt. Deshalb gilt hier eine schärfere Regel als bei jeder anderen App auf Deinem Handy: Updates für Sicherheits-Apps sind keine Kür, sie sind Pflicht.
Und unabhängig von dieser Lücke: Bestätige nie eine Anmeldeanfrage, die Du nicht selbst in diesem Moment ausgelöst hast. Kommt eine Push-Meldung aus dem Nichts, ist die richtige Antwort immer Ablehnen — und das Passwort ändern.
Was bleibt im Kopf
Die App, die Dich schützt, braucht selbst Schutz — und der heisst Update. CVE-2026-41615 ist gepatcht, der Exploit noch nicht draussen, das Rennen läuft. Zwei Minuten im App-Store entscheiden, auf welcher Seite Du stehst. Und der Reflex, jede Push-Bestätigung ungelesen wegzutippen, ist der eigentliche Bug — den patcht kein Hersteller für Dich.
Quelle: heise online, Meldung vom 18. Mai 2026 — heise.de.