Een ontwikkelingsvlag die ingeschakeld bleef in productiebuilds van verschillende Microsoft 365 Android-apps schakelde de controle uit die het delen van accounttokens beperkt tot vertrouwde Microsoft-apps.
Elke andere app op dezelfde telefoon kan om de token van de ingelogde gebruiker vragen en deze verkrijgen, vervolgens e-mail lezen, bestanden openen, door de agenda bladeren en berichten verzenden als die gebruiker. Geen wachtwoord, geen inlogscherm, geen toestemmingsprompt.
Microsoft heeft het gepatcht en als u Microsoft 365-apps op Android uitvoert, update deze dan.
De bug, die Enclave oproept VlagLinksdruk op Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop en OneNote, zes apps met miljarden downloads ertussen. Teams werden verzonden met dezelfde vlag ingesteld op false en werden niet beïnvloed, wat Enclave eerder als een slip dan als een ontwerp leest.
Microsoft 365-apps delen doelbewust accounttoegang, dus aanmelden bij Word betekent dat u zich niet opnieuw aanmeldt voor PowerPoint. De overdracht moet verifiëren wie er vraagt en alles afwijzen dat geen vertrouwde Microsoft-app is.
Yanir Tsarimi en Ofek Levin van Enclave ontdekten dat de cheque werd overgeslagen omdat er nog een regel in de verzendcode stond: setIsDebugMode(waar). De fout zat in een gedeelde Microsoft SDK, dus hetzelfde gat verscheen in app na app.
De overgedragen tokens waren FOCI-tokens, de familie vernieuwt tokens die Microsoft gebruikt voor eenmalige aanmelding in zijn apps. Ze kunnen gedurende lange tijd worden vernieuwd en hergebruikt, en het resulterende verkeer ziet er routinematig uit in logboeken. Vanaf de kant van de gebruiker gebeurt er niets zichtbaars.
Enclave bouwde een werkend proof of concept dat tokens via een niet-geverifieerde app van derden haalde en e-mail met hen las. Microsoft classificeert deze als lokale spoofingfouten; Kortom: een kwaadaardige app die al op het apparaat staat, is voldoende.
Microsoft heeft op 12 mei vier CVE’s uitgegeven, allemaal geclassificeerd als spoofing onder onjuiste toegangscontrole (CWE-284): CVE-2026-41100 voor Microsoft 365 Copilot (CVSS 4.4), CVE-2026-41101 voor Word (CVSS 7.1), CVE-2026-41102 voor PowerPoint (CVSS 7.1) en CVE-2026-42832 voor Excel (CVSS 7.7). De vier CVE’s omvatten Copilot, Word, PowerPoint en Excel.
Enclave meldde dezelfde fout in Loop en OneNote, maar kreeg geen van beide een aparte CVE in de batch van mei. NVD vermeldt de gepatchte Word-build voor Android als 16.0.19822.20190, waarbij eerdere versies getroffen zijn. De andere apps zijn opgelost via dezelfde Google Play-updates.
Niets in de May Patch Tuesday-release van Microsoft werd vermeld als publiekelijk bekend of misbruikt, en er is geen openbaar bewijs dat de fout vóór de oplossing werd gebruikt.
Wat te doen? Update Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop en OneNote vanuit Google Play. Beveiligingsteams die Android-parken beheren, moeten de updates via MDM pushen en bevestigen dat apparaten vóór 16.0.19822.20190 niet meer zijn gebouwd.
De patch sluit het gat, maar doodt niet met terugwerkende kracht tokens die een aanvaller mogelijk al in zijn bezit heeft. FOCI-vernieuwingstokens overleven een app-update, dus voor accounts op apparaten die naast onbetrouwbare apps ook een oude versie draaiden, is het de moeite waard om vernieuwingstokens in te trekken en een nieuwe aanmelding af te dwingen.
