Microsoft waarschuwt voor een beveiligingslek in Microsoft Authenticator waarmee aanvallers inlogtokens kunnen onderscheppen en toegang tot accounts kunnen verkrijgen.
Lees verder na de advertentie
Kritieke kwetsbaarheid in Microsoft Authenticator
Een beveiligingslek in Microsoft Authenticator stelt aanvallers in staat om inlogtokens buit te maken en daarmee ongeautoriseerde toegang tot resources te verkrijgen. Microsoft heeft inmiddels bijgewerkte versies van de app beschikbaar gesteld.
Tip!
Slimme IP-camera’s met live toezicht en haarscherpe beveiliging!
Aanvallers kunnen toegangstokens onderscheppen
Microsoft beschrijft het beveiligingslek in de Authtenticator-app in grote lijnen in een melding. Volgens het bedrijf kan gevoelige informatie bij onbevoegden terechtkomen doordat Microsoft Authenticator gegevens via het netwerk prijsgeeft aan aanvallers. In een FAQ verduidelijkt Microsoft dat de kwetsbaarheid het inlogtoken van werkaccounts kan blootleggen. Daardoor kunnen onbevoegden toegang krijgen tot gegevens en diensten waarvoor het gebruikersaccount gemachtigd is, waaronder mogelijk gevoelige bedrijfsinformatie.
Kwaadaardige verzoeken misbruiken gebruikersinteractie
Voor misbruik van het beveiligingslek in Microsoft Authenticator moeten aanvallers een gebruiker ertoe verleiden een kwaadaardig, maar legitiem ogend verzoek te bevestigen. Daarna kunnen zij de app toegangstokens namens de gebruiker laten aanvragen en die laten afleveren bij een dienst onder controle van de aanvaller. Gebruikers krijgen daarbij geen duidelijke informatie over welke rechten precies worden verleend (CVE-2026-41615, CVSS 9.6, risicoclassificatie ‘kritiek’). Het NIST beoordeelt de kwetsbaarheid in de NVD-database echter lager, met een CVSS-score van 7.4 en risicoclassificatie ‘hoog’.
Updates beschikbaar voor Android en iOS
Microsoft heeft updates uitgebracht die het beveiligingslek in Microsoft Authenticator verhelpen. Op Android is het probleem opgelost vanaf versie 6.2605.2973, op iOS vanaf versie 6.8.47. Gebruikers met automatische app-updates ingeschakeld ontvangen de bijgewerkte versie automatisch. Wie updates handmatig beheert, moet de nieuwe versie via de Google Play Store of Apple App Store installeren.
Nog geen actieve aanvallen bekend
Microsoft meldt verder dat de kwetsbaarheid voor zover bekend nog niet actief is misbruikt. Ook is er nog geen publieke exploit beschikbaar. Toch doen gebruikers van Microsoft Authenticator er verstandig aan te controleren of zij de meest recente versie gebruiken. De huidige versie is in de app terug te vinden via het menu ‘Help’ en vervolgens onder ‘Info’ bij ‘Applicatieversie’.
Tot slot
Hoewel Microsoft nog geen actieve aanvallen heeft waargenomen, onderstreept deze kwetsbaarheid opnieuw hoe gevoelig authenticatie-apps zijn voor misbruik van toegangstokens. Organisaties doen er verstandig aan updates van beveiligingskritieke apps snel uit te rollen en gebruikers alert te houden op verdachte toestemmingsverzoeken.
Tip
Krijg direct toegang tot alle beschikbare edities op je laptop, tablet of smartphone.
Op zich een mooi verhaal over de msAuthenticator app. Maar ik mis een verwijzing naar andere authenticator apps zoals die van google of die van proton of die ingebakken zitten in sommige wachtwoord kluizen.
Volgens mij is dit probleem met de msAuthenticator specifiek voor/door een bepaalde functie die microsoft heeft ingebakken. Daarmee zijn de andere authenticators in dit geval zonder probleem.