CVE-2023-23397 ist eine kritische Elevation of Privilege (EoP)-Schwachstelle in Microsoft Outlook, die als Teil des März-Patch-Dienstags am 14. März 2023 veröffentlicht wurde. Sie ermöglicht Angreifern, Berechtigungen zu erhöhen und die Authentifizierung zu umgehen – mit einem CVSS-Score von 9,8 eine der schwerwiegendsten bekannten Outlook-Schwachstellen überhaupt.
Betroffen sind alle unterstützten Versionen von Microsoft Outlook für Windows.
„CVE-2023-23397 ist ein Zero-Touch-Exploit – das Opfer muss nichts tun, nicht einmal die E-Mail öffnen."
Wie wird CVE-2023-23397 ausgenutzt?
Der Angriff läuft in mehreren Schritten ab – vollständig automatisiert und ohne jede Benutzerinteraktion:
Schritt 1 – Bösartige Kalendereinladung: Der Angreifer sendet remote eine manipulierte .msg-Datei (das Nachrichtenformat für Outlook-Erinnerungen), die den API-Endpunkt PlayReminderSound über die Option PidLidReminderFileParameter auslöst.
Schritt 2 – Automatische NTLM-Übertragung: Sobald Outlook die Erinnerung verarbeitet – noch vor jeder Benutzerinteraktion – stellt der Client automatisch eine Verbindung zum SMB-Server des Angreifers her und übermittelt dabei die NTLMv2-Authentifizierungsdaten des Nutzers.
Schritt 3 – NTLM-Relay-Angriff: Mit den erbeuteten NTLMv2-Hashes kann der Angreifer sich gegenüber anderen Diensten authentifizieren, die NTLM unterstützen – oder bei Administratorkonten ganze Domänen kompromittieren.
Warum ist diese Schwachstelle besonders gefährlich?
CVE-2023-23397 kombiniert mehrere Eigenschaften, die sie zu einer außergewöhnlichen Bedrohung machen:
- Keine Benutzerinteraktion erforderlich – nicht einmal das Vorschaufenster muss geöffnet werden
- Geringe Angriffskomplexität – die Schwachstelle ist technisch einfach auszunutzen
- Keine erhöhten Berechtigungen auf Angreiferseite notwendig
- Schwer zu blockieren: Ausgehender SMB-Datenverkehr ist für Remote-Nutzer kaum zuverlässig zu unterbinden
- Bereits aktiv ausgenutzt: Microsoft hat bestätigt, dass reale Angriffe stattgefunden haben
„Eine Schwachstelle, die keine Benutzeraktion erfordert und aktiv ausgenutzt wird, ist nicht morgen ein Problem – sie ist es heute."
Wichtiger Hinweis: Obwohl Microsoft 365 als Online-Dienst nicht direkt anfällig ist – da es keine NTLM-Authentifizierung unterstützt – ist die Windows Outlook-App für Microsoft 365 dennoch betroffen.
So schützen Sie Ihr Unternehmen: Drei Sicherheitsebenen
Ebene 1: Managed Cloud Firewall
Die ITcares Managed Cloud Firewall bildet die erste und wichtigste Verteidigungslinie gegen Angriffe wie CVE-2023-23397. Anders als klassische Hardware-Firewalls ist sie vollständig cloudbasiert und schützt Ihr Unternehmen standortunabhängig – also auch Mitarbeiter im Home- oder Remote-Office.
Als Next-Generation Firewall filtert sie den Datenverkehr aus allen relevanten Quellen: aus dem Internet, zwischen virtuellen Netzwerken, zwischen Mandanten und aus dem virtuellen Rechenzentrum. Angriffsvektoren wie CVE-2023-23397 werden so frühzeitig erkannt und blockiert – bevor sie Schaden anrichten können.
Ebene 2: Managed E-Mail Security
Managed E-Mail Security von ITcares schützt Ihre geschäftliche Kommunikation durch mehrere aufeinander abgestimmte Schutzschichten:
- Mehrere E-Mail-Virenscanner auf Basis führender Bedrohungsdatenquellen
- Anti-Spam-Engine mit Spoofing-Schutz
- Sandboxing zur Analyse verdächtiger Anhänge und Links
- Verschlüsselung und Multi-Faktor-Authentifizierung gegen unbefugten Zugriff
- Erweiterbar um Managed Firewall, Managed Antivirus und Managed Backup
Ebene 3: Managed Server mit aktivem Patchmanagement
Der schnellste Schutz gegen CVE-2023-23397 ist das konsequente Einspielen des März-Patches. Mit den Managed Servern von ITcares geschieht das automatisch und strukturiert:
- 7×24-Überwachung aller Server durch Software-Agenten mit zentraler Leitstelle
- Proaktives Patch-Management: Updates werden regelmäßig geprüft und außerhalb Ihrer Arbeitszeiten eingespielt
- Lückenlose Dokumentation aller Änderungen – jederzeit nachvollziehbar
- Frühzeitige Trenderkennung verhindert Ausfälle, bevor sie entstehen
Fazit: Drei Schutzebenen, ein Ziel – unterbrechungsfreier Betrieb
CVE-2023-23397 zeigt, wie gefährlich moderne Schwachstellen geworden sind: kein Klick notwendig, kein Warnzeichen für den Nutzer, aktiv in freier Wildbahn ausgenutzt. Technischer Schutz auf mehreren Ebenen ist die einzig zuverlässige Antwort.
ITcares-Kunden sind durch Managed Cloud Firewall, Managed E-Mail Security und aktives Patchmanagement bereits abgesichert. Wenn Sie wissen möchten, wie auch Ihr Unternehmen dauerhaft geschützt werden kann, sprechen Sie uns unverbindlich an – wir analysieren Ihre Umgebung und empfehlen den optimalen Schutzweg.
