🔍 Contexte

Publié le 20 mai 2026 par Nicola Suter sur son blog technique, cet article documente une réponse de Microsoft à la vulnérabilité CVE-2026-41615 (Microsoft Authenticator Information Disclosure Vulnerability), en exposant de nouveaux champs dans les journaux de connexion Entra ID.

🛡️ Vulnérabilité concernée

  • CVE-2026-41615 : Vulnérabilité de divulgation d’informations affectant l’application Microsoft Authenticator
  • Versions vulnérables :
    • Android : versions antérieures à 6.2605.2973
    • iOS : versions antérieures à 6.8.47
  • Les versions mentionnées ci-dessus constituent les builds corrigés.

📊 Nouveau champ dans les SignInLogs

En réponse à cette CVE, Microsoft a ajouté la colonne AuthenticationAppDeviceDetails dans les Entra ID Sign-In Logs, contenant les propriétés JSON suivantes :

  • appVersion
  • clientApp
  • deviceId
  • operatingSystem

Un second champ AuthenticationAppPolicyEvaluationDetails est également disponible, indiquant les paramètres de l’application Authenticator (Number Match, App Lock, Application Context, Location Context).

🔎 Requêtes KQL fournies

L’article fournit deux requêtes KQL exploitables :

  1. Identifier les utilisateurs utilisant une version vulnérable de Microsoft Authenticator (Android/iOS)
  2. Identifier les utilisateurs utilisant les capacités Authenticator light via l’application Outlook (qui ne supporte pas les Conditional Access authentication strengths, les passkeys ni les app protection policies)

📌 Type d’article

Il s’agit d’une analyse technique publiée par un praticien Microsoft, visant à documenter un nouveau champ de log Entra ID et à fournir des requêtes KQL opérationnelles pour détecter les déploiements vulnérables de Microsoft Authenticator.

🧠 TTPs et IOCs détectés

IOC

  • CVEs : CVE-2026-41615NVD · CIRCL

🔴 Indice de vérification factuelle : 29/100 (basse)

  • ⬜ tech.nicolonsky.ch — source non référencée (0pts)
  • ✅ 2756 chars — texte partiel (fulltext extrait) (13pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://tech.nicolonsky.ch/til/authenticationappdevicedetails