Microsoft Entra ID & Exchange/SharePoint: mehrere kritische Sicherheitslücken (CVE-2026-55008, CVE-2026-56164, CVE-2026-55040)


Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Microsoft hat am 13. Juli 2026 eine strategische Änderung für sein Identity- und Access-Management-System Microsoft Entra ID angekündigt. Ab dem 1. September 2026 werden Passkeys schrittweise als Standardmethode für die Multi-Faktor-Authentifizierung (MFA) eingeführt. Ziel dieser Maßnahme ist es, die Kontosicherheit durch phishing-resistente Anmeldeverfahren zu stärken und gleichzeitig anfällige Methoden wie SMS und Sprachanrufe abzulösen.

Die Umstellung betrifft alle Organisationen, die Microsoft Entra ID in der Public Cloud nutzen. Für andere Cloud-Umgebungen werden separate Zeitpläne kommuniziert. Die offizielle Microsoft-Ankündigung ist im Microsoft 365 Message Center unter MC1426371 verfügbar.

Update 14.07.2026: Zusätzlich wurden mehrere kritische Schwachstellen in Microsoft Exchange Server, SharePoint Server und Active Directory Federation Services bekannt. CVE-2026-55008 (CVSS 9.6) betrifft Exchange Server und ermöglicht Remote Code Execution. CVE-2026-56164 und CVE-2026-56155 sind aktiv ausgenutzte Zero-Days in SharePoint und AD FS. CVE-2026-55040 (CVSS 9.1) ermöglicht Authentication Bypass via JWT-Token-Forging in AD FS. Details siehe unten.