Microsoft heeft een kritiek beveiligingslek in Microsoft Teams verholpen dat het mogelijk maakte voor een ongeautoriseerde aanvaller om informatie over een netwerk te verkrijgen. 

De kwetsbaarheid is geregistreerd als CVE-2026-21535 en werd veroorzaakt door een fout in de toegangscontrole, ook wel aangeduid als Improper access control.

Volgens Microsoft vereiste een aanval geen authenticatie, gebruikersinteractie of verhoogde privileges. De kwetsbaarheid had daardoor een hoge impact op de vertrouwelijkheid van gegevens, wat resulteerde in een kritieke classificatie en een CVSS-score van 8.2. De fout bevond zich in de Teams-clouddienst zelf en is volledig aan de serverzijde opgelost. Gebruikers en IT-beheerders hoeven geen updates te installeren of aanvullende maatregelen te nemen.

Microsoft zegt niet op de hoogte te zijn van actief misbruik van het lek. De kwetsbaarheid werd gemeld door een externe onderzoeker en is na mitigatie openbaar gemaakt via de Microsoft Security Update Guide. Het bedrijf geeft daarbij bewust weinig technische details vrij over de aard van de informatie die kon worden ingezien of het exacte aanvalspad, om het risico op hergebruik of afgeleide aanvallen te beperken.

Toegangscontrole zwakke plek in cloudsoftware

Er is al langere tijd sprake van een trend waarbij fouten in toegangscontrole een terugkerend probleem vormen bij grote SaaS-platformen. In tegenstelling tot klassieke softwarelekken gaat het hierbij vaak niet om bugs in clientsoftware, maar om complexe backend-logica of autorisatiemodellen die onbedoeld meer data vrijgeven dan bedoeld. Dergelijke kwetsbaarheden zijn lastig te detecteren en komen vaak pas aan het licht via externe securityonderzoekers.

Dat Microsoft-oplossing geen gebruikersactie vereist, bevestigt dat het probleem niet in de Teams-clients zat, maar in de onderliggende cloudinfrastructuur. Voor organisaties betekent dit dat het directe risico inmiddels is weggenomen, maar het incident onderstreept wel het belang van vertrouwen in cloudleveranciers en hun interne beveiligingsprocessen. Tegelijk laat de publicatie van CVE-2026-21535 zien dat Microsoft zijn transparantiebeleid rond clouddiensten verder doorzet door ook reeds opgeloste kwetsbaarheden publiek te documenteren.