Błąd konfiguracyjny w aplikacjach Microsoft 365 na Androidzie pozwalał dowolnym aplikacjom przejmować tokeny użytkowników. W praktyce oznaczało to dostęp do maili, plików i kalendarza – bez hasła i bez wiedzy użytkownika.
Niepozorna flaga debugowania pozostawiona w produkcyjnych wersjach aplikacji może mieć poważne konsekwencje. Tym razem przekonał się o tym Microsoft – a wraz z nim użytkownicy popularnych aplikacji Microsoft 365 na Androidzie.
Błąd, który otworzył drzwi do danych użytkowników
Problem wynikał z faktu, że w kilku aplikacjach Microsoft 365 pozostawiono aktywną flagę debugowania wykorzystywaną na etapie prac deweloperskich. W efekcie wyłączony został mechanizm bezpieczeństwa, który standardowo ogranicza dostęp do tokenów uwierzytelniających wyłącznie do zaufanych aplikacji Microsoftu.
W praktyce oznaczało to, że każda inna aplikacja zainstalowana na tym samym urządzeniu mogła zażądać tokenu zalogowanego użytkownika i go otrzymać. Bez konieczności podawania hasła, bez dodatkowego logowania i bez wyświetlania jakichkolwiek komunikatów ostrzegawczych.
Co mógł zrobić atakujący
Przejęcie tokenu otwierało dostęp do całego ekosystemu usług Microsoft 365. Atakujący mogli wykorzystywać go do odczytywania wiadomości e-mail, przeglądania plików przechowywanych w chmurze, sprawdzania kalendarza, a nawet wysyłania wiadomości w imieniu użytkownika. Wszystko to odbywało się w sposób całkowicie transparentny, co znacząco utrudniało wykrycie incydentu.
Szczególnie niepokojący był fakt, że wykorzystanie podatności nie wymagało zaawansowanych umiejętności. Jak wskazuje firma Enclave, która nadała luce nazwę „FlagLeft”, scenariusz ataku był stosunkowo prosty do przeprowadzenia, co dodatkowo zwiększało ryzyko jego masowego wykorzystania.
Skala potencjalnego zagrożenia
Podatność dotyczyła wielu popularnych aplikacji, w tym Worda, Excela, PowerPointa, OneNote, Microsoft 365 Copilot oraz Loop. Biorąc pod uwagę, że zostały one pobrane miliardy razy, potencjalna skala zagrożenia była ogromna.
Wystarczyło, aby użytkownik miał na urządzeniu zainstalowaną złośliwą lub podatną aplikację, która mogła wykorzystać tę lukę do przejęcia tokenu i uzyskania dostępu do danych.
Aktualizacje usuwają problem
Microsoft zareagował, publikując poprawki bezpieczeństwa w ramach aktualizacji Patch Tuesday z maja 2026 roku. Luki zostały oznaczone jako CVE-2026-41100, CVE-2026-41101 oraz CVE-2026-41102 i zostały już załatane w najnowszych wersjach aplikacji. To jednak nie zmienia faktu, że użytkownicy, którzy nie zaktualizowali swoich aplikacji, nadal mogą być narażeni na ryzyko.
Rekomendacje co zrobić aby uniknąć podatności
W tym przypadku najważniejszym krokiem jest aktualizacja aplikacji Microsoft 365 na urządzeniach z systemem Android. To właśnie ona eliminuje podatność i przywraca właściwe mechanizmy kontroli dostępu do tokenów.
Warto również pamiętać, że tego typu incydenty pokazują, jak duże znaczenie ma kontrola aplikacji instalowanych na urządzeniach mobilnych. Nawet pozornie niegroźna aplikacja może stać się wektorem ataku, jeśli wykorzysta podatność w innym, zaufanym oprogramowaniu.
Podsumowanie
„FlagLeft” to przykład błędu, który nie wynika z zaawansowanego ataku, lecz z pozornie drobnego przeoczenia w procesie tworzenia oprogramowania. To pokazuje, że w cyberbezpieczeństwie często detale mają największe znaczenie.
Dla organizacji korzystających z Microsoft 365 to kolejny sygnał, że bezpieczeństwo nie kończy się na wdrożeniu narzędzia – kluczowe jest jego bieżące utrzymanie, aktualizacja i kontrola środowiska, w którym działa.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
