據(jù)《The Register》報道，正當(dāng)微軟本周推出大規(guī)模“補(bǔ)丁星期二”更新之際，美國網(wǎng)絡(luò)安全機(jī)構(gòu)CISA就一項已存在17年的Excel高危漏洞發(fā)出預(yù)警，該漏洞目前正被用于實際攻擊。

微軟在4月14日發(fā)布165個補(bǔ)丁后不久，CISA確認(rèn)，CVE-2009-0238（漏洞評分9.3分，高危）已于2009年2月24日首次公開，如今正被用于活躍攻擊（first published on February 24, 2009, was being abused in active attacks）。

CISA已將該漏洞加入已知被利用漏洞（KEV）目錄，并為聯(lián)邦民用行政部門機(jī)構(gòu)設(shè)定兩周修補(bǔ)期限——比常規(guī)期限縮短一周。

與以往發(fā)布KEV清單時的慣例一樣，CISA并未過多披露該Excel漏洞的具體利用方式、攻擊者身份及攻擊目的。

不過，其對CVE-2009-0238的描述與微軟最初公告保持一致。該漏洞屬于遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，攻擊者可誘騙受害者打開包含畸形對象的特制Excel文檔觸發(fā)漏洞（that attackers can trigger by convincing victims to open a specially crafted Excel document that "includes a malformed object."）。

2009年該漏洞首次被發(fā)現(xiàn)遭Trojan.Mdropper.AC木馬利用時，微軟就已向社區(qū)通報并發(fā)布修復(fù)程序。該木馬是一種加載器，用于在后續(xù)攻擊中投放其他惡意軟件。

該漏洞影響的軟件版本

- Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1

- Excel Viewer 2003 完整版及 SP3

- Excel Viewer

- Word、Excel、PowerPoint 2007 文件格式兼容包 SP1

- Microsoft Office 2004、2008 for Mac 中的 Excel

微軟在2009年首次披露時的公告中表示：“攻擊者成功利用這些漏洞后，可完全控制受影響系統(tǒng)（An attacker who successfully exploited these vulnerabilities could take complete control of an affected system）。”

“攻擊者可安裝程序、查看、修改或刪除數(shù)據(jù)，或創(chuàng)建擁有完整用戶權(quán)限的新賬戶。在系統(tǒng)中被配置為低權(quán)限用戶賬戶的受影響程度，低于以管理員權(quán)限運行的用戶。”

與CVE-2009-0238一同被列入CISA的KEV目錄的，還有一個近期出現(xiàn)的漏洞——CVE-2026-32201（評分6.5分），該漏洞已在本周“補(bǔ)丁星期二”更新中修復(fù)。

微軟在公告中確認(rèn)，這一SharePoint服務(wù)器欺騙漏洞屬于“零日漏洞”，已遭在野利用，但未披露幕后攻擊者信息（The SharePoint Server spoofing flaw was exploited as a zero-day, Microsoft confirmed in its advisory. It did not say who was behind it, however）。

該漏洞源于輸入驗證不當(dāng)，允許攻擊者通過網(wǎng)絡(luò)偽造數(shù)據(jù)。成功利用可使攻擊者獲取敏感信息，并篡改已公開內(nèi)容。

補(bǔ)丁管理廠商Action1總裁兼聯(lián)合創(chuàng)始人邁克·沃爾特斯本周向《The Register》表示：“利用該漏洞，攻擊者可篡改信息呈現(xiàn)方式，有可能誘騙用戶信任惡意內(nèi)容。”

沃爾特斯補(bǔ)充說，該漏洞完全可用于釣魚活動或其他社會工程學(xué)攻擊（Walters added that the vulnerability could feasibly be used as part of phishing campaigns or other forms of social engineering attacks）。

“該漏洞讓攻擊者能夠大規(guī)模偽造可信身份：看似合法的內(nèi)容，實則可能是精心設(shè)計的騙局。攻擊者可在受信任的SharePoint環(huán)境中展示虛假信息，欺騙員工、合作伙伴或客戶。