Microsoft випустила виправлення для чотирьох вразливостей спуфінгу в Android-застосунках Word, PowerPoint, Excel і Microsoft 365 Copilot, які дозволяли будь-якому застосунку на пристрої отримати токен авторизації користувача без пароля, екрана входу чи запиту дозволів. За даними дослідників з Enclave, коренева причина — debug-флаг, залишений увімкненим у продуктивних збірках. Організаціям, що використовують Microsoft 365 на Android, необхідно негайно оновити застосунки через Google Play і розглянути відкликання токенів оновлення для потенційно скомпрометованих пристроїв.
Технічна суть вразливості
Застосунки Microsoft 365 на Android використовують механізм єдиного входу (SSO): авторизація в одному застосунку автоматично поширюється на решту. Передача токенів між застосунками захищена перевіркою, яка допускає обмін лише з довіреними застосунками Microsoft. Як повідомляють дослідники Enclave Янiр Царімі та Офек Левін, у спільному SDK Microsoft був виклик setIsDebugMode(true), який вимикав цю перевірку у продуктивних збірках. Оскільки вразливий код містився в розділюваному SDK, одна й та сама помилка відтворювалася в кількох застосунках.
Токени, доступні через цю вразливість, — так звані FOCI-токени (Family of Client IDs refresh tokens), які Microsoft використовує для SSO між своїми застосунками. Ці токени оновлення мають тривалий строк життя, можуть багаторазово використовуватися, а трафік з їх застосуванням виглядає в логах як звичайна активність. Для користувача жодних видимих ознак компрометації не виникає.
Дослідники з Enclave створили робочий прототип експлойта, який через сторонній застосунок без верифікації вилучав токени та використовував їх для читання електронної пошти жертви.
Присвоєні CVE та оцінки серйозності
12 травня Microsoft опублікувала чотири бюлетені безпеки, класифікувавши вразливості як спуфінг із порушенням контролю доступу (CWE-284):
- CVE-2026-41100 — Microsoft 365 Copilot для Android, CVSS 4.4
- CVE-2026-41101 — Microsoft Word для Android, CVSS 7.1
- CVE-2026-41102 — Microsoft PowerPoint для Android, CVSS 7.1
- CVE-2026-42832 — Microsoft Excel для Android, CVSS 7.7
Виправлена версія Word для Android — 16.0.19822.20190; усі попередні збірки є вразливими. Решта застосунків оновлено через ті самі релізи в Google Play. За даними Enclave, аналогічна проблема також стосувалася Microsoft Loop і OneNote, однак окремих CVE для них у травневому випуску не призначено. Жодну з вразливостей не внесено до каталогу CISA KEV, і публічних свідчень експлуатації до виходу патча не зафіксовано.
Оцінка впливу
Microsoft класифікує вразливості як локальний спуфінг, що передбачає необхідність присутності шкідливого застосунку на пристрої жертви. Це звужує вектор атаки порівняно з віддаленою експлуатацією, однак для корпоративних парків Android-пристроїв ризик залишається суттєвим. Сценарій атаки реалістичний: користувач встановлює застосунок із сумнівного джерела або навіть із Google Play (шкідливі застосунки періодично проходять модерацію), і він тихо отримує повний доступ до корпоративної пошти, файлів, календаря та можливості надсилати повідомлення від імені жертви.
Особливу небезпеку становить природа FOCI-токенів: вони переживають оновлення застосунків і продовжують діяти після встановлення патча. Це означає, що саме по собі оновлення не анулює токени, які могли бути перехоплені раніше.
Практичні рекомендації
- Оновіть застосунки: встановіть останні версії Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop і OneNote із Google Play. Для Word переконайтеся, що версія не нижча за 16.0.19822.20190.
- Примусове оновлення через MDM: команди безпеки, які керують корпоративними Android-пристроями, мають розповсюдити оновлення через систему керування мобільними пристроями і підтвердити, що на пристроях немає вразливих збірок.
- Відкликання токенів оновлення: для облікових записів на пристроях, де вразливі версії застосунків працювали одночасно з недовіреними застосунками, рекомендовано відкликати токени оновлення (refresh tokens) і примусово ініціювати повторну авторизацію. Це можна зробити через Azure AD / Entra ID.
- Аудит установлених застосунків: перевірте пристрої на наявність застосунків, установлених із неофіційних джерел, у період до застосування патча.
Вразливість FlagLeft — наочний приклад того, як єдина строка налагоджувального коду в розділюваному SDK може каскадно скомпрометувати ціле сімейство застосунків. Пріоритетна дія — оновлення всіх шести затронутих застосунків Microsoft 365 на Android і відкликання FOCI-токенів для пристроїв, які могли бути експоновані до виходу патча.
