Microsoft Office Excel 漏洞被活跃攻击利用
CISA 命令联邦机构在 2026 年 4 月 28 日之前修补 CVE-2009-0238,这是一个 17 岁的 Microsoft Office Excel 远程代码执行漏洞,由于正在被积极利用。
MITRE ATT&CK® TTPs (1)
Click any technique to view details on attack.mitre.org
执行摘要
美国网络安全和基础设施安全局(CISA)已要求联邦民用机构在2026年4月28日之前修补一个17岁的远程代码执行漏洞,该漏洞存在于Microsoft Office Excel中,编号为CVE-2009-0238。这项指令是在绑定操作指令(BOD)22-01下发布的,原因是有证据显示该漏洞在野外被积极利用。如果用户打开一个恶意制作的Excel文件,该漏洞允许攻击者完全控制一个系统。
技术分析
根据CISA的已知被利用漏洞(KEV)目录,CVE-2009-0238是Microsoft Office Excel处理对象时的一个内存损坏漏洞。该漏洞存在于Excel文件的解析逻辑中。成功的攻击需要用户打开一个包含格式错误的对象的特别制作的Excel文档。利用漏洞会以一种方式损坏内存,允许攻击者以当前用户的权限执行任意代码。如果用户具有管理员权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。该漏洞最初由Microsoft在2009年的安全更新中解决。
CISA条目中没有详细说明漏洞利用的技术机制,也没有列出受影响的特定Excel版本。这种旧漏洞的持续利用表明,威胁行为者正在利用目标环境中未修补或遗留的系统。
入侵指标
源材料中未识别出任何入侵指标。
战术、技术与程序
根据CISA的描述,主要的初始访问向量可能是鱼叉式网络钓鱼或其他基于电子邮件的活动,将恶意Excel文件作为附件传递(T1566.001)。利用技术涉及利用软件漏洞(T1203)以实现执行。最终目标是远程代码执行,导致系统完全被破坏(T1203)。
威胁行为者背景
CISA的源材料没有将活跃的利用归因于特定的威胁行为者或团体。包含在KEV目录中意味着CISA有可靠的证据表明漏洞正在被用于攻击,但该机构没有公开命名肇事者或他们的目标,超出了联邦企业的范围。
缓解措施与建议
CISA的指令为联邦民用行政部门机构提供了明确的、强制性的行动。根据KEV条目,所需行动是:
- 在2026年4月28日的截止日期之前应用供应商提供的缓解措施。
- 如果无法获得缓解措施,机构必须停止使用受影响的产品。
对于所有组织,主要的缓解措施是应用相关的Microsoft Excel安全更新,该更新自2009年以来已可用。组织应确保补丁管理流程涵盖遗留软件,并在可能的情况下,安全控制阻止执行过时、不受支持的应用程序。用户培训以避免打开意外或不受信任的电子邮件附件,仍然是防御这种类型攻击的关键防御层。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
