Was Microsoft gemeldet hat
CVE-2026-45480 betrifft Azure Active Directory, heute Microsoft Entra ID. Die Schwachstelle ist als kritische Rechteausweitung bewertet. Der Vektor liegt im Netzwerk, es sind keine Benutzerinteraktion und keine vorherigen Rechte erforderlich.
Microsoft meldet den Fall als service-seitig vollstaendig mitigiert. Fuer Kunden gibt es daher keinen Windows-Patch, keine GPO-Aenderung und keinen lokalen Agentenstand, der diese CVE schliesst. Das macht den Hinweis nicht unwichtig: Identity-Plattformen sind Kontrollpunkte fuer privilegierte Rollen, Anwendungen, Conditional Access und hybride Anmeldung.
Was Betreiber pruefen sollten
- Tenant-Audit sichern: Audit- und Sign-in-Logs rund um die Veroeffentlichung und die eigene Aufbewahrungsfrist pruefen. Bei kurzer Retention relevante Ereignisse exportieren.
- Privilegierte Aenderungen nachsehen: Global Administrator, Privileged Role Administrator, Conditional Access Administrator, Application Administrator, App-Rollen, Service Principals und Consent-Vorgaenge kontrollieren.
- PIM und Break-Glass pruefen: Aktivierungen, dauerhafte Rollenzuweisungen, ausgeschlossene Konten und Notfallkonten gegen die dokumentierte Soll-Lage abgleichen.
- Anwendungszugriffe bewerten: Neue Secrets, Zertifikate, Redirect-URIs, App-Berechtigungen und Admin-Consent nicht nur technisch, sondern mit Owner und Zweck nachhalten.
- Risikoregister aktualisieren: Die CVE als durch Microsoft mitigiert dokumentieren, aber lokale Nachweise zu Rollen, Logs und Tenant-Aenderungen nicht ueberspringen.
Fuer hybride Identitaeten
In hybriden Umgebungen endet das Risiko nicht an der Cloud-Grenze. Entra ID steuert Zugriff auf Microsoft 365, Azure-Ressourcen, SaaS-Anwendungen und oft auch privilegierte Betriebsprozesse fuer lokale AD-Teams. Eine unerklaerte Rollen- oder App-Aenderung kann deshalb Auswirkungen auf On-Premises-Administration, Exchange, SharePoint, Backup, Automatisierung und Helpdesk-Prozesse haben.
Kurzfristig zaehlt kein Panik-Patch, sondern belastbarer Nachweis: Wurden privilegierte Rollen, App-Berechtigungen oder Conditional-Access-Ausnahmen im relevanten Zeitraum geaendert, und sind diese Aenderungen fachlich freigegeben?
Wenn nur ein Schritt sofort geht: Tenant-Audit fuer privilegierte Rollen, App-Consent und Service-Principals pruefen und die Ergebnisse mit Retention-Zeitfenster dokumentieren.
