CISA警告，駭客正在利用17年前的Excel漏洞展開攻擊

由CISA所維護的KEV清單，收錄了具高度風險且已被駭客實際利用的安全漏洞，並要求美國聯邦機構在期限內完成修補，從幾天到幾週不等。該清單被視為優先修補指引，CISA亦建議企業比照辦理。

根據微軟在17年前的公告，CVE-2009-0238是個存在於Microsoft Office Excel中的記憶體毀損漏洞，當使用者開啟了一個包含異常物件的特製Excel檔案時，駭客便能成功利用該漏洞，自遠端執行任意程式碼，進而掌控使用者電腦，包括安裝程式、檢視、變更或刪除資料，或是建立具備完整權限的新帳號。

Security Affairs則說，當年CVE-2009-0238的CVSS風險評分高達9.3，只要使用者開啟一個特製的Excel檔案就可能被觸發，導致應用程式存取記憶體中的無效物件，造成記憶體損壞，而讓遠端駭客得以透過使用者權限在受影響的電腦上執行任意程式碼。

該漏洞影響多個Office產品版本，涵蓋Microsoft Office 2000SP3、Microsoft Office XPSP3、Microsoft Office 2003SP3、Microsoft Office 2007SP1中的Excel，以及Excel Viewer 2003（含SP3）、Microsoft Office Compatibility Pack 2007SP1，另亦波及Microsoft Office 2004 for Mac與Microsoft Office 2008 for Mac中的Excel元件，而它們多半皆已停止支援。

新的KEV清單意味著有部分系統迄今仍在使用受到影響的舊版Office，才會被駭客以17年前的漏洞發動攻擊。而CISA並未透露太多有關CVE-2009-0238如何遭到利用的訊息。