Microsoft Entra ID & Exchange/SharePoint: mehrere kritische Sicherheitslücken (CVE-2026-55008, CVE-2026-56164, CVE-2026-55040)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Microsoft hat am 13. Juli 2026 eine strategische Änderung für sein Identity- und Access-Management-System Microsoft Entra ID angekündigt. Ab dem 1. September 2026 werden Passkeys schrittweise als Standardmethode für die Multi-Faktor-Authentifizierung (MFA) eingeführt. Ziel dieser Maßnahme ist es, die Kontosicherheit durch phishing-resistente Anmeldeverfahren zu stärken und gleichzeitig anfällige Methoden wie SMS und Sprachanrufe abzulösen.
Die Umstellung betrifft alle Organisationen, die Microsoft Entra ID in der Public Cloud nutzen. Für andere Cloud-Umgebungen werden separate Zeitpläne kommuniziert. Die offizielle Microsoft-Ankündigung ist im Microsoft 365 Message Center unter MC1426371 verfügbar.
Update 14.07.2026: Zusätzlich wurden mehrere kritische Schwachstellen in Microsoft Exchange Server, SharePoint Server und Active Directory Federation Services bekannt. CVE-2026-55008 (CVSS 9.6) betrifft Exchange Server und ermöglicht Remote Code Execution. CVE-2026-56164 und CVE-2026-56155 sind aktiv ausgenutzte Zero-Days in SharePoint und AD FS. CVE-2026-55040 (CVSS 9.1) ermöglicht Authentication Bypass via JWT-Token-Forging in AD FS. Details siehe unten.
Die Fakten im Überblick
Passkeys als Standard: Ab 1. September 2026 werden Nutzer zur Registrierung von Passkeys aufgefordert; ab 1. Februar 2027 wird dies verbindlich.
SMS/Sprache wird abgeschaltet: Native Microsoft-Dienste für SMS- und Sprachanmeldung enden am 1. Februar 2027. Drittanbieter-Integration über Microsoft Security Store bleibt möglich.
Betroffene Plattform: Microsoft Entra ID (Public Cloud).
Kritische Exchange-Schwachstelle: CVE-2026-55008 (CVSS 9.6) betrifft Exchange Server 2016 CU23, 2019 CU14/CU15 und Subscription Edition RTM. Remote Code Execution ohne Authentifizierung möglich, Nutzerinteraktion erforderlich.
Aktiv ausgenutzte SharePoint-Zero-Days: CVE-2026-56164 (Elevation of Privilege) und CVE-2026-50661 betreffen SharePoint Server 2016, 2019 und Subscription Edition. Patches verfügbar: 16.0.5561.1001, 16.0.10417.20175, 16.0.19725.20434.
Kritische AD FS-Schwachstellen: CVE-2026-56155 (Insufficient Access Control) und CVE-2026-55040 (CVSS 9.1, Security Feature Bypass via JWT-Token-Forging) betreffen Active Directory Federation Services. CVE-2026-55040 wird aktiv ausgenutzt.
Der Zeitplan für die Umstellung
Für eine reibungslose Implementierung hat Microsoft einen gestaffelten Rollout-Plan veröffentlicht. IT-Administratoren sollten die folgenden Termine beachten:
Ab 1. August 2026: API-Unterstützung wird verfügbar, um ein temporäres Opt-out für den Passkey-Rollout zu konfigurieren.
Ab 1. September 2026: Nutzern wird bei der MFA-Anmeldung die Registrierung eines Passkeys angeboten. Die Teilnahme ist in dieser Phase noch optional.
Ab 18. September 2026: Microsoft veröffentlicht Informationen zu unterstützten Drittanbieter-Telekomdienstleistern im Microsoft Security Store.
Ab 30. Oktober 2026: Administratoren können Telekommunikationsdienste von Drittanbietern im Microsoft Security Store für die SMS- und Sprachanmeldung konfigurieren.
Ab 1. Februar 2027: Die nativen SMS- und Sprachdienste von Microsoft werden abgeschaltet. Die Aufforderung zur Passkey-Registrierung wird für alle betroffenen Nutzer verbindlich und kann nicht mehr übersprungen werden.
Handlungsbedarf und Optionen für Administratoren
Unternehmen müssen ihre Authentifizierungsstrategien an diesen neuen Rahmen anpassen. Die Übergangsfrist bis Februar 2027 bietet Zeit, interne Prozesse und die Nutzerkommunikation vorzubereiten.
Organisationen, die weiterhin auf SMS- oder sprachbasierte Authentifizierung angewiesen sind, müssen auf Lösungen von Drittanbietern ausweichen, die über den Microsoft Security Store integriert werden können. Microsoft empfiehlt jedoch klar den Umstieg auf vollständig phishing-resistente Methoden.
Nutzer, die bereits sichere Verfahren wie Windows Hello for Business, FIDO2 Security Keys, zertifikatbasierte Authentifizierung oder Smart Cards einsetzen, sind von der neuen Registrierungsaufforderung laut Microsoft Learn nicht betroffen.
Kritische Schwachstelle in Microsoft Exchange Server (CVE-2026-55008)
Parallel zur Passkey-Umstellung wurde am 14. Juli 2026 eine kritische Sicherheitslücke in Microsoft Exchange Server bekannt. Die Schwachstelle CVE-2026-55008 erhielt einen CVSS-Score von 9.6 und ermöglicht Remote Code Execution über das Netzwerk.
Technische Details
Die Schwachstelle betrifft folgende Exchange-Versionen:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Exchange Server 2019 Cumulative Update 15
Microsoft Exchange Server Subscription Edition RTM
Ein Angreifer kann die Lücke ohne vorherige Authentifizierung ausnutzen (PR:N), benötigt jedoch Nutzerinteraktion (UI:R). Der Angriffsvektor ist netzwerkbasiert (AV:N) mit niedriger Angriffskomplexität (AC:L). Bei erfolgreicher Ausnutzung sind hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit möglich (C:H/I:H/A:H). Der Scope ist „Changed“ (S:C), was bedeutet, dass die Auswirkungen über die verwundbare Komponente hinausgehen können.
Bewertung und Handlungsempfehlung
Zum Zeitpunkt der Veröffentlichung ist der Patch-Status unbekannt. Es liegen keine Informationen über aktive Ausnutzung oder Aufnahme in die CISA KEV-Liste vor. Organisationen mit Exchange-Servern in den betroffenen Versionen sollten das Microsoft Security Response Center Advisory unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008 kontinuierlich überwachen und verfügbare Sicherheitsupdates priorisiert einspielen.
Die Kombination aus hohem CVSS-Score, netzwerkbasiertem Angriffsvektor und der Möglichkeit zur Remote Code Execution macht CVE-2026-55008 zu einer kritischen Bedrohung für Exchange-Infrastrukturen. Bis zur Verfügbarkeit eines Patches sollten Administratoren kompensatorische Maßnahmen wie Netzwerksegmentierung, verstärktes Monitoring und Zugriffsbeschränkungen auf Exchange-Dienste prüfen.
Aktiv ausgenutzte Zero-Days in SharePoint Server (CVE-2026-56164, CVE-2026-50661)
Am 14. Juli 2026 wurden zwei aktiv ausgenutzte Schwachstellen in Microsoft SharePoint Server bekannt. CVE-2026-56164 ist eine Elevation-of-Privilege-Schwachstelle, die durch fehlende Authentifizierung ermöglicht wird. CVE-2026-50661 ist eine weitere Schwachstelle in SharePoint Server, deren technische Details noch nicht vollständig veröffentlicht wurden.
Betroffene Versionen und Patches
Die Schwachstellen betreffen folgende SharePoint-Versionen:
Microsoft SharePoint Server 2016 (alle Versionen < 16.0.5561.1001)
Microsoft SharePoint Server 2019 (alle Versionen < 16.0.10417.20175)
Microsoft SharePoint Server Subscription Edition (alle Versionen < 16.0.19725.20434)
Microsoft hat Sicherheitsupdates veröffentlicht, die die Schwachstellen beheben:
SharePoint Server 2016: Update auf Version 16.0.5561.1001
SharePoint Server 2019: Update auf Version 16.0.10417.20175
SharePoint Server Subscription Edition: Update auf Version 16.0.19725.20434
Dringlichkeit und Handlungsempfehlung
Da beide Schwachstellen aktiv ausgenutzt werden, ist eine sofortige Patch-Installation kritisch. Organisationen mit SharePoint-Servern sollten die Updates priorisiert einspielen und bis zur vollständigen Patch-Implementierung verstärktes Monitoring auf verdächtige Aktivitäten durchführen. Die Schwachstellen ermöglichen Angreifern die Ausweitung von Berechtigungen innerhalb der SharePoint-Umgebung, was zu Datenexfiltration, lateraler Bewegung im Netzwerk und weiteren Kompromittierungen führen kann.
Kritische Schwachstellen in Active Directory Federation Services (CVE-2026-56155, CVE-2026-55040)
Parallel zu den SharePoint-Schwachstellen wurden zwei kritische Lücken in Active Directory Federation Services (AD FS) bekannt. CVE-2026-56155 ist eine Schwachstelle durch unzureichende Zugriffskontrolle. CVE-2026-55040 ist eine besonders kritische Security-Feature-Bypass-Schwachstelle mit einem CVSS-Score von 9.1.
CVE-2026-55040: Authentication Bypass via JWT-Token-Forging
CVE-2026-55040 ermöglicht Angreifern, die Authentifizierung zu umgehen, indem sie gefälschte JWT-Tokens (JSON Web Tokens) erstellen. Diese Schwachstelle wird aktiv ausgenutzt und stellt eine erhebliche Bedrohung für Organisationen dar, die AD FS für föderierte Authentifizierung einsetzen. Ein erfolgreicher Angriff ermöglicht unbefugten Zugriff auf geschützte Ressourcen ohne gültige Anmeldeinformationen.
Technische Bewertung und Handlungsempfehlung
Die Kombination aus hohem CVSS-Score (9.1), aktiver Ausnutzung und der Möglichkeit zur vollständigen Umgehung der Authentifizierung macht CVE-2026-55040 zu einer der kritischsten Schwachstellen im aktuellen Microsoft-Sicherheitsupdate. Organisationen mit AD FS-Infrastruktur müssen verfügbare Patches umgehend einspielen und ihre Authentifizierungs-Logs auf Anomalien prüfen, insbesondere auf ungewöhnliche JWT-Token-Ausstellungen oder -Validierungen.
Bis zur vollständigen Patch-Implementierung sollten Administratoren folgende kompensatorische Maßnahmen erwägen:
Verstärktes Monitoring von AD FS-Authentifizierungsereignissen
Überprüfung und Härtung der JWT-Token-Validierungsrichtlinien
Netzwerksegmentierung zur Einschränkung des Zugriffs auf AD FS-Server
Aktivierung zusätzlicher Authentifizierungsfaktoren für kritische Ressourcen
CVE-2026-56155 erfordert ebenfalls zeitnahe Patch-Installation, da unzureichende Zugriffskontrolle in AD FS zu unbefugtem Zugriff auf föderierte Dienste führen kann.
Relevanz für DACH-Organisationen
Für NIS-2-pflichtige Unternehmen und KRITIS-Betreiber in Deutschland ist die Umstellung besonders relevant: Die Nutzung phishing-resistenter Authentifizierungsverfahren entspricht den Anforderungen an technische Sicherheitsmaßnahmen gemäß § 30 BSIG. Das BSI empfiehlt FIDO2-basierte Verfahren und Passkeys explizit als starke Authentifizierungsmethoden. Organisationen, die Microsoft Entra ID als zentralen Identitätsdienst einsetzen, sollten die Umstellung zudem in ihre DSGVO-konforme Change-Dokumentation aufnehmen und prüfen, ob die Änderung der Authentifizierungsinfrastruktur interne Risikobewertungen nach ISO 27001 erfordert.
Die Exchange-Schwachstelle CVE-2026-55008 sowie die aktiv ausgenutzten SharePoint- und AD FS-Schwachstellen verstärken die Dringlichkeit eines ganzheitlichen Microsoft-Sicherheitsmanagements. Organisationen mit Exchange-Servern, SharePoint-Installationen oder AD FS-Infrastruktur müssen diese Schwachstellen in ihre Risikobewertung nach ISO 27001 Anhang A 8.8 (Schwachstellenmanagement) aufnehmen und dokumentieren. Die aktive Ausnutzung von CVE-2026-56164, CVE-2026-50661 und CVE-2026-55040 erfordert eine sofortige Incident-Response-Bereitschaft und priorisierte Patch-Installation.
Für NIS-2-pflichtige Organisationen ist die Meldepflicht bei Sicherheitsvorfällen zu beachten: Sollten Anzeichen für eine erfolgreiche Ausnutzung der Zero-Day-Schwachstellen vorliegen, kann eine Meldung an die zuständige Aufsichtsbehörde erforderlich sein.
Einordnung aus EASM- und VRM-Sicht
Die Umstellung der Authentifizierungsmethoden bei einem zentralen Identitätsanbieter wie Microsoft hat direkte Auswirkungen auf die externe Angriffsfläche und das Lieferantenrisikomanagement.
External Attack Surface Management (EASM): Microsoft Entra ID ist ein extern erreichbarer Dienst, dessen Anmeldeportale Teil der digitalen Infrastruktur eines Unternehmens sind. Eine EASM-Plattform wie LocateRisk identifiziert diese und andere exponierte Authentifizierungs-Endpunkte (z.B. für VPNs oder Cloud-Dienste). Das Wissen, welche Systeme von Entra ID abhängig sind, ist die Grundlage, um die Auswirkungen dieser Richtlinienänderung auf die eigene Sicherheitslage zu bewerten. Gleichzeitig müssen extern erreichbare Exchange-Server, SharePoint-Instanzen und AD FS-Server identifiziert und auf Betroffenheit durch CVE-2026-55008, CVE-2026-56164, CVE-2026-50661, CVE-2026-56155 und CVE-2026-55040 geprüft werden. Die aktive Ausnutzung mehrerer dieser Schwachstellen macht die kontinuierliche Überwachung der externen Angriffsfläche besonders kritisch.
Vendor Risk Management (VRM): Microsoft ist für die meisten Unternehmen ein kritischer Lieferant. Eine verbindliche Änderung der Sicherheitsrichtlinien ist ein relevantes Ereignis im Cyber Supply Chain Risk Management. Ein kontinuierliches Monitoring im Rahmen von VRM hilft dabei, solche Änderungen bei strategischen Partnern zu erfassen und die eigene Compliance mit Standards wie NIS-2 oder ISO 27001 sicherzustellen, die ein aktives Management von Lieferantenrisiken fordern. Die Exchange-, SharePoint- und AD FS-Schwachstellen unterstreichen die Notwendigkeit, auch Patch-Management-Prozesse bei kritischen Microsoft-Produkten im VRM-Kontext zu überwachen. Die Häufung kritischer Zero-Days in kurzer Zeit sollte Anlass sein, die Risikobewertung für Microsoft als Lieferanten zu aktualisieren und die Abhängigkeit von Microsoft-Produkten in der Lieferantenkette zu dokumentieren.
So unterstützt Sie LocateRisk
Die LocateRisk-Plattform bietet Ihnen die notwendige Transparenz über Ihre externe Angriffsfläche und die Sicherheitslage Ihrer Lieferanten. Identifizieren Sie alle externen Systeme, die auf Microsoft Entra ID zur Authentifizierung angewiesen sind, und bewerten Sie die Sicherheits-Performance Ihrer kritischen Technologiepartner. Erkennen Sie exponierte Exchange-Server, SharePoint-Instanzen und AD FS-Server in Ihrer Infrastruktur, um Schwachstellen wie CVE-2026-55008, CVE-2026-56164, CVE-2026-50661, CVE-2026-56155 und CVE-2026-55040 schnell zu lokalisieren und zu priorisieren.
Unsere Lösung „Made in Germany“ wird in zertifizierten deutschen Rechenzentren gehostet — konzipiert nach DSGVO-Anforderungen und mit reduzierten Risiken durch US-Cloud-Act-Exposition.
Alle Organisationen und Nutzer, die Microsoft Entra ID in der Public Cloud verwenden. Eine Ausnahme bilden Nutzer, die bereits eine andere phishing-resistente Authentifizierungsmethode wie Windows Hello for Business, FIDO2 Security Keys oder Smart Cards einsetzen — diese erhalten laut Microsoft Learn keine neue Registrierungsaufforderung.
Ja, die Nutzung bleibt möglich, aber nicht mehr über den nativen Dienst von Microsoft. Unternehmen müssen dafür einen unterstützten Drittanbieter für Telekommunikationsdienste über den Microsoft Security Store integrieren. Die Konfiguration ist ab dem 30. Oktober 2026 möglich; Informationen zu verfügbaren Anbietern veröffentlicht Microsoft ab dem 18. September 2026.
Zwischen dem 1. September 2026 und dem 1. Februar 2027 können Nutzer die Aufforderung überspringen. Nach diesem Stichtag wird der Registrierungsdialog verbindlich. Eine Anmeldung ohne Interaktion mit der Aufforderung ist für betroffene Nutzer dann nicht mehr möglich.
Prüfen Sie, ob Sie eine der betroffenen Versionen einsetzen: Exchange Server 2016 CU23, Exchange Server 2019 CU14 oder CU15, oder Exchange Server Subscription Edition RTM. Überwachen Sie das Microsoft Security Response Center für Patch-Informationen und setzen Sie verfügbare Updates umgehend ein.
Die Installation ist kritisch und sollte sofort erfolgen. CVE-2026-56164 und CVE-2026-50661 werden aktiv ausgenutzt. Organisationen mit SharePoint-Servern in den betroffenen Versionen (< 16.0.5561.1001 für 2016, < 16.0.10417.20175 für 2019, < 16.0.19725.20434 für Subscription Edition) sollten die Updates priorisiert einspielen.
CVE-2026-55040 ist eine kritische Schwachstelle (CVSS 9.1), die aktiv ausgenutzt wird und die Authentifizierung durch JWT-Token-Forging umgehen kann. Organisationen mit AD FS müssen verfügbare Patches sofort installieren, ihre Authentifizierungs-Logs auf Anomalien prüfen und kompensatorische Maßnahmen wie verstärktes Monitoring und Netzwerksegmentierung implementieren.
Fragen Sie jetzt Ihre persönliche Live-Demo an
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.