沉寂17年的Excel高危漏洞重出江湖，已遭活跃利用

就在微软本周发布大规模"周二补丁"更新之际，美国网络安全局（CISA）也随即发出警报，称一个已有17年历史的Excel严重漏洞正被攻击者积极利用。

微软于4月14日推出165项补丁后不久，CISA随即确认，编号为CVE-2009-0238（CVSS评分9.3）的漏洞正遭到在野攻击。该漏洞最初于2009年2月24日公开披露。

CISA已将该漏洞收录至其已知被利用漏洞（KEV）目录，并为联邦民事行政机构（FCEB）设定了两周的修复期限——比通常的修复窗口缩短了一周。

CISA并未就该Excel漏洞的具体利用方式、攻击者身份或攻击目的披露过多信息，这与其历次KEV公告的惯例一致。

不过，CISA对CVE-2009-0238的描述与微软当年的初始公告保持一致。已知该漏洞属于远程代码执行（RCE）类型，攻击者只需诱导受害者打开一个包含"畸形对象"的特制Excel文档，即可触发漏洞。

CVE-2009-0238最初被发现时，正被木马程序Trojan.Mdropper.AC所利用——该程序是一种加载器，用于在后续攻击中投放其他恶意软件。微软当时已向公众发出通报并发布了修复补丁。

受影响的版本包括：

Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3及2007 SP1

Excel Viewer 2003 正式版及SP3

Excel Viewer

适用于Word、Excel及PowerPoint 2007文件格式的兼容包SP1

Mac版Microsoft Office 2004及2008中的Excel

微软在2009年首次披露时表示："成功利用上述漏洞的攻击者可完全控制受影响系统。攻击者随后可安装程序，查看、修改或删除数据，或创建具有完整用户权限的新账户。账户权限较低的用户所受影响可能小于具有管理员权限的用户。"

此次与CVE-2009-0238一同被收录至CISA KEV目录的，还有一个更为近期的漏洞——本周"周二补丁"中已修复的CVE-2026-32201（CVSS评分6.5）。

微软在其公告中确认，该SharePoint Server欺骗漏洞在修复前已被当作零日漏洞加以利用，但未透露攻击者身份。

该漏洞源于输入验证不当，允许攻击者通过网络伪造数据，成功利用后可获取敏感信息并篡改所公开的内容。

补丁管理厂商Action1联合创始人兼总裁迈克·沃尔特斯本周告诉The Register："通过利用该漏洞，攻击者可以操控信息呈现给用户的方式，进而诱使用户信任恶意内容。"

他还指出，该漏洞完全可能被用于网络钓鱼活动或其他社会工程学攻击手段。

"该漏洞使攻击者能够大规模制造虚假的信任感：看似合法的内容，实则可能是精心构造的欺骗。它可用于在受信任的SharePoint环境中向员工、合作伙伴或客户呈现虚假信息，从而实施欺骗。"

Q&A

Q1：CVE-2009-0238漏洞是什么？为什么时隔17年还会被利用？

A：CVE-2009-0238是微软Excel中的一个远程代码执行漏洞，CVSS评分高达9.3，最早于2009年披露并修复。攻击者只需诱导用户打开含有畸形对象的特制Excel文件即可触发。时隔17年再度被利用，主要原因是仍有用户运行老旧、未更新的Office版本，导致已修复的漏洞在现实环境中依然存在可乘之机。

Q2：哪些Excel版本受到CVE-2009-0238漏洞影响？

A：受影响版本包括Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1，Excel Viewer 2003正式版及SP3，Excel Viewer，Office 2007兼容包SP1，以及Mac版Office 2004和2008中的Excel组件。如果您仍在使用上述任一版本，应立即应用微软官方补丁或升级至受支持的新版本。

Q3：SharePoint漏洞CVE-2026-32201会带来哪些实际威胁？

A：CVE-2026-32201是一个SharePoint Server欺骗漏洞，源于输入验证不当。攻击者可通过网络伪造数据，操控用户在SharePoint中看到的信息内容，使恶意内容看起来合法可信。该漏洞可被用于钓鱼攻击或社会工程学攻击，欺骗员工、合作伙伴或客户，存在较高的信息泄露与数据篡改风险。