Microsoft hat Patches für vier Spoofing-Schwachstellen in den Android-Apps Word, PowerPoint, Excel und Microsoft 365 Copilot veröffentlicht, die es jeder beliebigen App auf dem Gerät erlaubten, ohne Passwort, Anmeldebildschirm oder Berechtigungsabfrage das Autorisierungs-Token des Nutzers zu erhalten. Nach Angaben der Forscher von Enclave liegt die eigentliche Ursache in einem Debug-Flag, das in den Produktions-Builds aktiviert geblieben war. Organisationen, die Microsoft 365 auf Android einsetzen, müssen die Apps umgehend über Google Play aktualisieren und den Widerruf von Refresh Tokens für potenziell kompromittierte Geräte in Betracht ziehen.
Technischer Kern der Schwachstelle
Die Microsoft 365-Apps auf Android nutzen einen Single-Sign-On-Mechanismus (SSO): Eine Anmeldung in einer App wird automatisch auf die übrigen übertragen. Die Weitergabe von Tokens zwischen den Apps ist durch eine Prüfung geschützt, die den Austausch ausschließlich mit vertrauenswürdigen Microsoft-Anwendungen zulässt. Wie die Enclave-Forscher Yanir Tsarimi und Ofek Levin berichten, enthielt das gemeinsame Microsoft-SDK einen Aufruf setIsDebugMode(true), der diese Prüfung in Produktions-Builds deaktivierte. Da sich der verwundbare Code in einem gemeinsam genutzten SDK befand, trat derselbe Fehler in mehreren Anwendungen auf.
Bei den über diese Schwachstelle zugänglichen Tokens handelt es sich um sogenannte FOCI-Tokens (Family of Client IDs refresh tokens), die Microsoft für SSO zwischen seinen Anwendungen verwendet. Diese Refresh Tokens haben eine lange Lebensdauer, können mehrfach genutzt werden, und der damit erzeugte Datenverkehr wirkt in Logs wie normale Aktivität. Für den Benutzer gibt es keinerlei sichtbare Anzeichen einer Kompromittierung.
Die Forscher von Enclave entwickelten einen funktionsfähigen Exploit-Prototyp, der über eine Drittanbieter-App ohne Verifizierung Tokens extrahierte und sie zum Lesen der E-Mails des Opfers einsetzte.
Zugewiesene CVE und Schweregrade
Am 12. Mai veröffentlichte Microsoft vier Security-Bulletins und klassifizierte die Schwachstellen als Spoofing mit Verletzung der Zugriffskontrolle (CWE-284):
- CVE-2026-41100 — Microsoft 365 Copilot für Android, CVSS 4.4
- CVE-2026-41101 — Microsoft Word für Android, CVSS 7.1
- CVE-2026-41102 — Microsoft PowerPoint für Android, CVSS 7.1
- CVE-2026-42832 — Microsoft Excel für Android, CVSS 7.7
Die behobene Version von Word für Android ist 16.0.19822.20190; alle früheren Builds sind verwundbar. Die übrigen Anwendungen wurden über dieselben Releases in Google Play aktualisiert. Nach Angaben von Enclave war ein ähnliches Problem auch bei Microsoft Loop und OneNote vorhanden, für diese wurden im Mai-Release jedoch keine separaten CVEs vergeben. Keine der Schwachstellen ist im CISA-KEV-Katalog aufgeführt, und es gibt keine öffentlichen Hinweise auf eine Ausnutzung vor Veröffentlichung des Patches.
Bewertung der Auswirkungen
Microsoft stuft die Schwachstellen als lokales Spoofing ein, was das Vorhandensein einer bösartigen App auf dem Gerät des Opfers voraussetzt. Damit ist der Angriffsvektor im Vergleich zu einer Remote-Exploitation eingeschränkt, für Unternehmensflotten mit Android-Geräten bleibt das Risiko jedoch erheblich. Das Angriffsszenario ist realistisch: Der Benutzer installiert eine App aus einer fragwürdigen Quelle oder sogar aus Google Play (schädliche Anwendungen schaffen es immer wieder durch die Moderation), und diese erhält im Hintergrund vollen Zugriff auf geschäftliche E-Mails, Dateien, Kalender sowie die Möglichkeit, Nachrichten im Namen des Opfers zu versenden.
Besonders gefährlich ist die Natur der FOCI-Tokens: Sie überdauern App-Updates und bleiben auch nach Installation des Patches gültig. Das bedeutet, dass das Update allein nicht die Tokens annulliert, die möglicherweise zuvor abgefangen wurden.
Praktische Empfehlungen
- Apps aktualisieren: Installieren Sie die neuesten Versionen von Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop und OneNote aus Google Play. Stellen Sie bei Word sicher, dass die Version nicht unter 16.0.19822.20190 liegt.
- Erzwungenes Update über MDM: Sicherheitsteams, die Unternehmens-Android-Geräte verwalten, sollten die Updates über ein Mobile-Device-Management-System verteilen und sicherstellen, dass auf den Geräten keine verwundbaren Builds mehr vorhanden sind.
- Widerruf von Refresh Tokens: Für Konten auf Geräten, auf denen verwundbare App-Versionen gleichzeitig mit nicht vertrauenswürdigen Anwendungen liefen, wird empfohlen, die Refresh Tokens zu widerrufen und eine erneute Autorisierung zu erzwingen. Dies kann über Azure AD / Entra ID erfolgen.
- Audit installierter Apps: Prüfen Sie die Geräte auf Anwendungen, die im Zeitraum vor Einspielen des Patches aus inoffiziellen Quellen installiert wurden.
Die FlagLeft-Schwachstelle ist ein anschauliches Beispiel dafür, wie eine einzige Zeile Debug-Code in einem gemeinsam genutzten SDK kaskadenartig eine ganze Familie von Anwendungen kompromittieren kann. Vorrangige Maßnahmen sind das Aktualisieren aller sechs betroffenen Microsoft 365-Apps auf Android sowie der Widerruf von FOCI-Tokens für Geräte, die vor Veröffentlichung des Patches exponiert gewesen sein könnten.
