Microsoft закрыла критическую уязвимость в своих приложениях-аутентификаторах для Android и iOS. Злоумышленники могут с ее помощью удаленно проникать в учетные записи пользователей и получать доступ к конфиденциальным данным. Сложность атаки при этом оценивается как низкая. Пользователям следует как можно скорее обновить Microsoft Authenticator до последней версии, чтобы защититься от возможных атак.

Речь идет об уязвимости CVE-2026-41615 (открывается в новом окне). Microsoft присваивает ей оценку CVSS 9,6, что соответствует критическому уровню опасности. То, что не достигнута максимальная оценка в 10 баллов, связано в первую очередь с тем, что для успешной эксплуатации злоумышленникам требуется взаимодействие с пользователем.

"Злоумышленник может попытаться обманом заставить пользователя отреагировать на вредоносный запрос, который выглядит легитимным", — пишет Microsoft в связи с этим в уведомлении об уязвимости (открывается в новом окне). После этого приложение-аутентификатор может запросить токен доступа от имени пользователя и передать его в систему, контролируемую злоумышленником, при этом пользователь не будет четко проинформирован о таком доступе.

Патчи для iOS и Android

Тот факт, что кража данных из приложения-аутентификатора может иметь далеко идущие последствия, очевиден. В связи с этим Microsoft указывает прежде всего на риски для предприятий. CVE-2026-41615 может раскрыть токен доступа для входа в рабочую учетную запись пользователя, говорится в бюллетене безопасности. Впоследствии этот токен может быть использован для доступа к данным и сервисам, включая, возможно, конфиденциальные корпоративные данные.

Исправленные версии приложения Microsoft Authenticator доступны как для iOS (открывается в новом окне), так и для Android (открывается в новом окне). Версия для Android считается защищенной, начиная с версии 6.2605.2973, версия для iOS — с версии 6.8.47.

Обе версии доступны уже около недели, поэтому, вероятно, уже установлены у многих пользователей — особенно если на соответствующем устройстве включены автоматические обновления. Там, где это не так, обновление следует как можно скорее загрузить вручную. На данный момент, по-видимому, нет никаких указаний на активное использование уязвимости CVE-2026-41615.