Уязвимость, обнаруженная в табличном процессоре Microsoft Excel 17 лет назад, снова используется злоумышленниками. Эту информацию опубликовало издание The Register, ссылаясь на заявление Агентства по кибербезопасности и защите инфраструктуры США (CISA).
Данные о недостатке безопасности, получившем идентификатор CVE-2009-0238, стали известны 24 февраля 2009 года. По шкале CVSS уровень его опасности достигает 9,3 балла из максимально возможных десяти.
CISA не предоставило деталей о том, насколько широко хакеры эксплуатируют эту «брешь», а также не указало, какие именно группы киберпреступников и с какими целями начали ее использовать.
Агентство внесло данный дефект в перечень подтвержденных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities; KEV). Гражданским исполнительным органам власти США поручено устранить его в течение двух недель. Обычно на подобные задачи отводится три недели, как отмечает The Register.
Описание CVE-2009-0238 не менялось с момента публикации Microsoft в 2009 году. Согласно ему, уязвимость позволяет злоумышленнику выполнить произвольный код на устройстве жертвы (RCE). Для этого необходимо, чтобы она открыла специально созданный документ Excel, содержащий «некорректный объект» (“malformed object”).
Microsoft уведомила пользователей о проблеме и выпустила исправление практически сразу после того, как была зафиксирована активная эксплуатация уязвимости вредоносной программой Trojan.Mdropper.AC, которая использовалась для загрузки на целевой компьютер других образцов вредоносного ПО.
Пользователям современных версий Microsoft Excel не стоит опасаться стать жертвой кибератаки из-за CVE-2009-0238 – уязвимость присутствует только в очень старых версиях редактора таблиц, которые давно не поддерживаются.
Опасность угрожает пользователям Excel из состава пакетов Microsoft Office 2000 SP3, 2002 SP3, 2003 SP3 и 2007 SP1; программы для просмотра Excel Viewer 2003 Gold и SP3; пакета совместимости форматов файлов для Word, Excel, PowerPoint 2007 SP1, а также Excel, входящего в Microsoft Office 2004 и 2008 для компьютеров Apple Mac.
«Злоумышленник, которому удалось успешно использовать эту уязвимость, мог получить полный контроль над целевой системой, – говорится в оригинальном документе, посвященном уязвимости. – … После этого злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя. Владельцы учетных записей с меньшим набором привилегий в системе могут пострадать меньше, чем те, кто работает с правами администратора».
Огромная популярность Excel в частности и пакета офисных программ Microsoft Office во всем мире делает их привлекательным инструментом для хакеров, стремящихся внедриться в систему.
Например, в декабре 2023 года издание CNews сообщало, что киберпреступники начали эксплуатировать уязвимость CVE-2017-11882, обнаруженную и устраненную еще в 2017 году, для распространения усовершенствованного трояна Agent Tesla.
В 2019 году выяснилось, что надстройка для Excel под названием Power Query содержит брешь, позволяющую выполнять на целевом компьютере произвольный код и, соответственно, вредоносные программы. Корпорация Microsoft знала об этой проблеме с 2017 года.
CISA в своем текущем формате была создана в 2018 году в период первого президентского срока Дональда Трампа (Donald Trump). Это ведомство занимается вопросами кибербезопасности и защиты инфраструктуры на всех этажах государственного управления, согласовывает программы в сфере кибербезопасности с американскими штатами и усиливает защиту правительственных систем от хакеров — как действующих в личных целях, так и по заданию иностранных государств.
В феврале 2026 года, как ранее отмечал CNews, CISA обязало федеральные ведомства США избавиться от устаревшего сетевого оборудования и заменить его новым. Причина в том, что в 2025 году злоумышленники активно использовали ИТ-уязвимости устройств, поддержка которых была прекращена, а также взламывали программное обеспечение.
Однако само агентство не всегда соответствует стандартам безопасности, соблюдение которых оно должно контролировать. Так, в январе 2026 года издание Politico рассказало, что исполняющий обязанности главы CISA Мадху Готтумуккала (Maddhu Gottumukkala) загружал в переписку с популярным ИИ-ботом ChatGPT от компании OpenAI документы с грифом «для служебного пользования».
