塵封17年Excel漏洞重現江湖，已被CISA列入高危漏洞清單

據《The Register》報道，正當微軟本周推出大規模“補丁星期二”更新之際，美國網絡安全機構CISA就一項已存在17年的Excel高危漏洞發出預警，該漏洞目前正被用于實際攻擊。

微軟在4月14日發布165個補丁后不久，CISA確認，CVE-2009-0238（漏洞評分9.3分，高危）已于2009年2月24日首次公開，如今正被用于活躍攻擊（first published on February 24, 2009, was being abused in active attacks）。

CISA已將該漏洞加入已知被利用漏洞（KEV）目錄，并為聯邦民用行政部門機構設定兩周修補期限——比常規期限縮短一周。

與以往發布KEV清單時的慣例一樣，CISA并未過多披露該Excel漏洞的具體利用方式、攻擊者身份及攻擊目的。

不過，其對CVE-2009-0238的描述與微軟最初公告保持一致。該漏洞屬于遠程代碼執行（RCE）漏洞，攻擊者可誘騙受害者打開包含畸形對象的特制Excel文檔觸發漏洞（that attackers can trigger by convincing victims to open a specially crafted Excel document that "includes a malformed object."）。

2009年該漏洞首次被發現遭Trojan.Mdropper.AC木馬利用時，微軟就已向社區通報并發布修復程序。該木馬是一種加載器，用于在后續攻擊中投放其他惡意軟件。

該漏洞影響的軟件版本

- Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1

- Excel Viewer 2003 完整版及 SP3

- Excel Viewer

- Word、Excel、PowerPoint 2007 文件格式兼容包 SP1

- Microsoft Office 2004、2008 for Mac 中的 Excel

微軟在2009年首次披露時的公告中表示：“攻擊者成功利用這些漏洞后，可完全控制受影響系統（An attacker who successfully exploited these vulnerabilities could take complete control of an affected system）。”

“攻擊者可安裝程序、查看、修改或刪除數據，或創建擁有完整用戶權限的新賬戶。在系統中被配置為低權限用戶賬戶的受影響程度，低于以管理員權限運行的用戶。”

與CVE-2009-0238一同被列入CISA的KEV目錄的，還有一個近期出現的漏洞——CVE-2026-32201（評分6.5分），該漏洞已在本周“補丁星期二”更新中修復。

微軟在公告中確認，這一SharePoint服務器欺騙漏洞屬于“零日漏洞”，已遭在野利用，但未披露幕后攻擊者信息（The SharePoint Server spoofing flaw was exploited as a zero-day, Microsoft confirmed in its advisory. It did not say who was behind it, however）。

該漏洞源于輸入驗證不當，允許攻擊者通過網絡偽造數據。成功利用可使攻擊者獲取敏感信息，并篡改已公開內容。

補丁管理廠商Action1總裁兼聯合創始人邁克·沃爾特斯本周向《The Register》表示：“利用該漏洞，攻擊者可篡改信息呈現方式，有可能誘騙用戶信任惡意內容。”

沃爾特斯補充說，該漏洞完全可用于釣魚活動或其他社會工程學攻擊（Walters added that the vulnerability could feasibly be used as part of phishing campaigns or other forms of social engineering attacks）。

“該漏洞讓攻擊者能夠大規模偽造可信身份：看似合法的內容，實則可能是精心設計的騙局。攻擊者可在受信任的SharePoint環境中展示虛假信息，欺騙員工、合作伙伴或客戶。