عاجل
ITIran, sito militare colpito a Bushehr. Trump e Netanyahu coordinano mosseITOndata di caldo, Firenze in allerta rossa. Weekend bollente atteso in ItaliaRUВласти ДР Конго включили провинции Чопо и Верхний Уэле в список затронутых лихорадкой ЭболаDEHausärzte fordern Stopp des umstrittenen Sparpakets für KrankenkassenFRCanicule et incendies : la France sous haute tensionARالأنظار تتجه نحو مواجهة المغرب وفرنسا في ربع نهائي كأس العالمITFrancia batte Marocco: Mbappé e Dembélé firmano la vittoria, Deschamps recordITGuerra Ucraina Russia, Cremlino: "Usa armano Kiev ma vogliono contribuire alla pace"ARارتفاع عدد ضحايا تفشي فيروس إيبولا في الكونغو الديمقراطية إلى 291 وفاةKRGo Woo-seok, the 30th Korean Big Leaguer, Finally Steps onto the MLB MoundITIran, sito militare colpito a Bushehr. Trump e Netanyahu coordinano mosseITOndata di caldo, Firenze in allerta rossa. Weekend bollente atteso in ItaliaRUВласти ДР Конго включили провинции Чопо и Верхний Уэле в список затронутых лихорадкой ЭболаDEHausärzte fordern Stopp des umstrittenen Sparpakets für KrankenkassenFRCanicule et incendies : la France sous haute tensionARالأنظار تتجه نحو مواجهة المغرب وفرنسا في ربع نهائي كأس العالمITFrancia batte Marocco: Mbappé e Dembélé firmano la vittoria, Deschamps recordITGuerra Ucraina Russia, Cremlino: "Usa armano Kiev ma vogliono contribuire alla pace"ARارتفاع عدد ضحايا تفشي فيروس إيبولا في الكونغو الديمقراطية إلى 291 وفاةKRGo Woo-seok, the 30th Korean Big Leaguer, Finally Steps onto the MLB Mound
Newsgather
BackMicrosoft schließt kritische SSRF-Lücke in Entra ID mit CVSS 10.0
Microsoft schließt kritische SSRF-Lücke in Entra ID mit CVSS 10.0
تقنية
Heise Online28.04.2026تقنية1 dk okumaGermany

Microsoft schließt kritische SSRF-Lücke in Entra ID mit CVSS 10.0

Sicherheitslücke CVE-2026-35431 ermöglichte Spoofing-Angriffe aus dem externen Netzwerk

نظرة سريعة

  • Microsoft hat eine kritische Sicherheitslücke (CVE-2026-35431, CVSS 10.0) in seinem Cloud-basierten Identitätsverwaltungssystem Entra ID geschlossen.
  • Die SSRF-Schwachstelle erlaubte Angreifern den Zugriff auf Ressourcen im geschützten Netzwerkbereich und das Ausführen von Spoofing-Angriffen.
  • Das Unternehmen hat die Lücke bereits am Donnerstag (16.

ملخص مُنشأ بالذكاء الاصطناعي

لماذا يهم

Microsoft schließt regelmäßig Sicherheitslücken in seinen Cloud-Diensten. Anfang Februar 2026 wurden bereits Sicherheitslecks in Azure Arc, Azure Functions und Azure Front Door gestopft – eines davon als kritisch, zwei als hochriskant eingestuft.

حجم الخط

Microsoft hat eine kritische Sicherheitslücke mit der höchsten Risikobewertung CVSS 10.0 von 10 geschlossen. Angreifer konnten die Lücke für Spoofing-Angriffe missbrauchen.

Das Unternehmen hat eine Schwachstellenmeldung dazu veröffentlicht. Die Sicherheitslücke mit dem Eintrag CVE-2026-35431 (CVSS 10.0, Risiko „kritisch") hat Microsoft demnach bereits im Laufe des vergangenen Donnerstags geschlossen. Es handelt sich um eine Server-Side-Request-Forgery (SSRF), wodurch Angreifer aus dem externen Netzwerk auf Ressourcen innerhalb des geschützten (lokalen) Netzwerkbereichs Zugriff erhalten hätten. Unbefugte bösartige Akteure hätten dadurch Spoofing-Angriffe ausführen können.

Wie Angriffe genau aussehen würden und was genau Angreifer hätten spoofen können, erklärt Microsoft jedoch nicht. Die Höchstwertung des Risikos deutet jedoch darauf hin, dass offenbar das Kompromittieren von Netzwerken dadurch möglich war – und zwar recht unkompliziert.

Die Schwachstelle war zuvor laut Microsoft noch nicht öffentlich bekannt und auch noch nicht missbraucht worden. Admins und IT-Verantwortliche müssen zudem nicht aktiv werden, da die Mitarbeiter von Microsoft das Problem bereits serverseitig behoben haben.

Es ist nicht ungewöhnlich, dass Microsoft Sicherheitslücken in den Cloudsystemen schließt und dadurch automatisch die Kunden schützt. Anfang Februar hat das Unternehmen etwa in der Multi-Cloud-Verwaltungslösung Azure Arc, der serverlosen Entwicklungsumgebung Azure Functions und dem Content Delivery Network (CDN) Azure Front Door Sicherheitslecks gestopft. Eines galt ebenfalls als kritisches Risiko, zwei immerhin als hochriskant. Angreifer hätten sich dadurch etwa höhere Nutzerrechte erschleichen oder Zugriff auf eigentlich geschützte Informationen erlangen können.

أسئلة مفتوحة

  • Wie genau würden die Spoofing-Angriffe ablaufen?
  • Welche spezifischen Ressourcen hätten Angreifer kompromittieren können?
  • Wie lange war die Lücke vor der Behebung vorhanden?

مواضيع ذات صلة

This article was originally published by Heise Online.

أخبار ذات صلة

المزيد حول هذا الموضوعmicrosoft