Microsofts Sicherheits-Fiasko: Drei Lücken, null Vertrauen

Microsoft kämpft mit einer Sicherheitskrise: MiniPlasma ist zurück, Authenticator leckt Tokens und Storm-2949 räumt Cloud-Infrastrukturen aus. Drei kritische Schwachstellen zeigen, wie fragil das Microsoft-Ökosystem wirklich ist.

Eine angeblich gepatchte Schwachstelle aus dem Jahr 2020 ist zurück – und funktioniert auf vollständig aktualisierten Windows-11-Systemen. Der Sicherheitsforscher Nightmare-Eclipse hat den Exploit MiniPlasma veröffentlicht, inklusive ausführbarer Datei. Die Botschaft an Microsoft: Eure Sicherheitsversprechen sind das Papier nicht wert, auf dem sie stehen. Drei parallele Sicherheitskrisen offenbaren gerade, wie verwundbar das Microsoft-Universum tatsächlich ist.

MiniPlasma: Der Zombie-Exploit

CVE-2020-17103 sollte Geschichte sein. Google Project Zero entdeckte die Lücke im Cloud-Filter-Treiber cldflt.sys bereits vor sechs Jahren, Microsoft meldete sie als geschlossen. Doch laut Golem ermöglicht MiniPlasma weiterhin die Rechteausweitung von einem Standard-Nutzerkonto auf SYSTEM-Ebene. Unabhängige Sicherheitsexperten wie Will Dormann bestätigten die Funktionsfähigkeit auf aktuellen Produktionssystemen Mitte Mai 2026. Der Angriff verschafft Hackern vollständige Kontrolle über den Rechner – trotz aller Updates.

Nightmare-Eclipse verfolgt dabei eine Mission: Die Person hinter dem Pseudonym will Microsofts Sicherheitspolitik bloßstellen. In Blog-Einträgen betont der Forscher, keine Nutzer schädigen zu wollen, sondern das Fehlverhalten der Redmonder zu dokumentieren. Eine neuere Testversion von Windows 11 zeigt das Problem nicht mehr – ein Patch scheint also in Arbeit. Doch die Frage bleibt: Wie konnte eine angeblich geschlossene Lücke sechs Jahre lang unbemerkt offen bleiben?

Authenticator-Desaster: Token im freien Fall

Parallel dazu klafft eine kritische Schwachstelle in der Microsoft Authenticator App. CVE-2026-41615 ermöglicht es Angreifern, Anmelde-Token für Arbeitskonten abzugreifen. Die Masche: Nutzer werden dazu gebracht, eine harmlos wirkende Anfrage in der App zu bestätigen. Im Hintergrund fließen Zugriffstoken an von Kriminellen kontrollierte Dienste. Betroffene merken nicht, welche Rechte sie gerade freigeben – und gewähren Zugriff auf sämtliche Unternehmensdaten.

Microsoft stuft die Lücke als kritisch ein und liefert Updates: Android-Nutzer brauchen Version 6.2605.2973, iOS-Anwender Version 6.8.47. Wer automatische Updates aktiviert hat, erhält den Patch ohne Zutun. Der Konzern betont, es gebe bisher keine Hinweise auf aktive Angriffe. Doch die Tatsache, dass eine Authentifizierungs-App selbst zur Sicherheitslücke wird, entlarvt die Ironie der Situation.

Storm-2949: Wenn Cloud-Features zu Waffen werden

Die dritte Bedrohung ist besonders perfide. Die Hackergruppe Storm-2949 missbrauchte die Self-Service-Passwortzurücksetzung (SSPR) – eine Funktion, die eigentlich IT-Arbeit erleichtern soll. Durch manipulierte Passwortrücksetzungen verschafften sich die Angreifer Zugang zu Microsoft-365-Konten. Von dort sprangen sie in die Azure-Infrastruktur: App Services, Key Vaults und Storage Accounts wurden kompromittiert. Tausende Dateien flossen aus OneDrive und SharePoint ab.

Das Perfide: Storm-2949 nutzte legitime Cloud-Verwaltungsfunktionen. Keine Softwarelücken, sondern Identitätsverwaltungsprozesse wurden zur Waffe. Microsofts Reaktion: SMS-Codes für persönliche Konten werden abgeschafft. Die Zukunft gehöre Passkeys mit gerätegebundener Kryptografie und biometrischer Authentifizierung über Windows Hello. Doch auch hier gibt es Haken: In virtuellen Maschinen funktionieren hardwaregebundene Biometriedaten oft nicht.

Patch-Day-Chaos verschärft die Lage

Der Mai-Patch-Day brachte 137 Schwachstellen-Fixes, 31 davon kritisch. Darunter CVE-2026-42897, eine Spoofing-Lücke in Exchange Server, die Session-Hijacking über Outlook Web Access ermöglicht. Das Update KB5089549 selbst verursacht Probleme: Die Installation scheitert auf Systemen mit weniger als 10 MB freiem Speicherplatz auf der EFI-Systempartition. Der Vorgang bricht bei 36 Prozent ab.

Administratoren müssen auf Workarounds ausweichen. Parallel dazu verschärft Microsoft die Hardware-Anforderungen. Windows 11 26H1 wird voraussichtlich eine Neural Processing Unit mit mindestens 40 TOPS und 16 GB RAM voraussetzen. Juni 2026 laufen zudem Secure-Boot-Zertifikate ab. Die „Security-First“-Offensive wirkt angesichts der aktuellen Schwachstellen wie blanker Hohn.

KI-Tools als neue Risikoquelle

Microsofts KI-Agent Frontier erstellt tiefgehender recherchierte Präsentationen als der Standard-M365-Copilot. Doch Cloud-Governance-Experten warnen: KI-Einführung ersetzt keine traditionelle Datenverwaltung. Der Erfolg von KI-Agenten hängt von der zugrundeliegenden Informationsarchitektur ab. Sensitivitätsbezeichnungen müssen verhindern, dass die KI versehentlich geschützte Informationen preisgibt oder exfiltriert.

Für kleinere Unternehmen stellt sich die Frage: Einheitliche Plattform oder separate Tools? Microsoft 365 bietet niedrigere Gesamtkosten und zentrale Verwaltung – konzentriert aber auch das Risiko, wie Storm-2949 eindrucksvoll belegt. Mai 2026 bekräftigte TD Cowen dennoch seine Kaufempfehlung für Microsoft-Aktien mit Kurszielen von bis zu 540 Euro. Grundlage sind starke Akzeptanzraten für GitHub Copilot und Azure-Kapazitäten.

Business Punk Check

Microsofts Sicherheitsarchitektur gleicht gerade einem Schweizer Käse – und der Konzern verkauft das als Feature. Drei parallele Krisen zeigen: Das Problem liegt nicht in einzelnen Bugs, sondern im System selbst. Eine angeblich geschlossene Lücke funktioniert sechs Jahre später noch immer. Eine Authentifizierungs-App wird selbst zur Schwachstelle. Und legitime Cloud-Features werden zu Angriffswaffen. Die Wahrheit: Microsofts Geschäftsmodell basiert auf Plattform-Dominanz, nicht auf Sicherheit.

Je mehr Dienste integriert werden, desto größer die Angriffsfläche. Storm-2949 demonstriert das brutal: Von einem kompromittierten E-Mail-Konto direkt in die Azure-Infrastruktur. Einheitliche Plattformen mögen praktisch sein – sie schaffen aber Single Points of Failure. Für Entscheider bedeutet das: Zero Trust ist keine Option mehr, sondern Pflicht. Passkeys sind ein Schritt in die richtige Richtung, lösen aber nicht das Grundproblem. Wer kritische Infrastruktur auf Microsoft 365 aufbaut, sollte mindestens Multi-Cloud-Strategien und strikte Segmentierung implementieren. Und vor allem: Microsofts Sicherheitsversprechen nicht mehr blind vertrauen.

Häufig gestellte Fragen

Wie gefährlich ist MiniPlasma wirklich für Unternehmen?

MiniPlasma ermöglicht Angreifern mit lokalem Zugang die vollständige Systemkontrolle auf gepatchten Windows-11-Rechnern. Für Unternehmen bedeutet das: Ein kompromittiertes Standard-Nutzerkonto reicht aus, um die gesamte Maschine zu übernehmen. Besonders kritisch in Umgebungen mit Bring-Your-Own-Device-Policies oder Remote-Zugriff. Bis Microsoft ein funktionierendes Patch liefert, sollten Admins Endpoint-Detection-Systeme verschärfen und Privileged Access Management implementieren.

Sollten Unternehmen den Microsoft Authenticator jetzt ersetzen?

Die CVE-2026-41615-Lücke ist ab Android-Version 6.2605.2973 und iOS-Version 6.8.47 geschlossen. Wer diese Versionen nutzt, ist geschützt. Grundsätzlich zeigt der Vorfall aber: Auch Sicherheits-Apps sind Angriffsziele. Unternehmen sollten Hardware-Token oder FIDO2-Sticks als Backup-Option implementieren. Passkeys sind vielversprechend, aber noch nicht ausgereift genug für kritische Infrastrukturen.

Wie schützt man sich gegen Storm-2949-Angriffe?

Storm-2949 nutzt Social Engineering und legitime SSPR-Funktionen. Technische Kontrollen allein reichen nicht. Unternehmen müssen Mitarbeiter für Phishing-Angriffe sensibilisieren und SSPR-Prozesse verschärfen. Multi-Faktor-Authentifizierung ist Pflicht, aber keine Garantie. Zusätzlich: Conditional Access Policies in Azure AD aktivieren, verdächtige Anmeldeversuche automatisch blockieren und regelmäßige Security-Audits durchführen.

Lohnt sich Microsoft 365 trotz der Sicherheitsprobleme noch?

Microsoft 365 bietet Kostenvorteile und zentrale Verwaltung – konzentriert aber auch Risiken. Die Storm-2949-Kampagne zeigt: Ein kompromittiertes Konto kann zur kompletten Cloud-Infrastruktur führen. Für kleinere Unternehmen ohne dedizierte Security-Teams bleibt die Plattform praktikabel, wenn sie Zero-Trust-Prinzipien konsequent umsetzen. Größere Organisationen sollten Multi-Cloud-Strategien und strikte Segmentierung zwischen Produktivitäts-Tools und kritischer Infrastruktur prüfen.

Was bedeuten die verschärften Hardware-Anforderungen für Windows 11?

Windows 11 26H1 wird voraussichtlich eine NPU mit 40 TOPS und 16 GB RAM voraussetzen. Microsoft verkauft das als Security-Feature, tatsächlich geht es um KI-Integration. Für Unternehmen bedeutet das: Hardware-Refresh-Zyklen beschleunigen sich. Wer nicht investieren will, muss auf Windows 10 bleiben – dessen Support aber ausläuft. Die Strategie ist klar: Zwangsmodernisierung durch künstliche Obsoleszenz.

Quellen: Bild, Golem, Borncity