Microsoft stopft Lücke mit Risiko-Höchstwertung in Entra ID

Im Cloud-basierten Identitätsverwaltungssystem Entra ID (Entitlement Management) hat Microsoft eine kritische Sicherheitslücke mit der höchsten Risikobewertung CVSS 10.0 von 10 geschlossen. Angreifer konnten die Lücke für Spoofing-Angriffe missbrauchen.

Microsoft hat eine Schwachstellenmeldung dazu veröffentlicht. Die Sicherheitslücke mit dem Eintrag CVE-2026-35431 (CVSS 10.0, Risiko „kritisch“) hat das Unternehmen demnach bereits im Laufe des vergangenen Donnerstags geschlossen. Es handelt sich um eine Server-Side-Request-Forgery (SSRF), wodurch Angreifer aus dem externen Netzwerk auf Ressourcen innerhalb des geschützten (lokalen) Netzwerkbereichs Zugriff erhalten. Unbefugte bösartige Akteure hätten dadurch Spoofing-Angriffe ausführen können.

Konkrete Details sind Mangelware

Wie Angriffe genau aussehen würden und was genau Angreifer hätten spoofen können, erklärt Microsoft jedoch nicht. Die Höchstwertung des Risikos deutet jedoch darauf hin, dass offenbar das Kompromittieren von Netzwerken dadurch möglich war – und zwar recht unkompliziert.

Die Schwachstelle war zuvor laut Microsoft noch nicht öffentlich bekannt und auch noch nicht missbraucht worden. Admins und IT-Verantwortliche müssen zudem nicht aktiv werden, da die Mitarbeiter von Microsoft das Problem bereits serverseitig behoben haben.

Es ist nicht ungewöhnlich, dass Microsoft Sicherheitslücken in den Cloudsystemen schließt und dadurch automatisch die Kunden schützt. Anfang Februar hat das Unternehmen etwa in der Multi-Cloud-Verwaltungslösung Azure Arc, der serverlosen Entwicklungsumgebung Azure Functions und dem Content Delivery Network (CDN) Azure Front Door Sicherheitslecks gestopft. Eines galt ebenfalls als kritisches Risiko, zwei immerhin als hochriskant. Angreifer hätten sich dadurch etwa höhere Nutzerrechte erschleichen oder Zugriff auf eigentlich geschützte Informationen erlangen können.

(dmk)