17 年前的 Excel 漏洞再度成為攻擊焦點

CISA 發布緊急警報

美國網路安全與基礎設施安全局（CISA）於 4 月 14 日將兩個安全漏洞列入已知遭利用漏洞清單（KEV），要求美國聯邦機構於兩週內完成修補。其中一個是微軟甫修補的 SharePoint Server 漏洞（CVE-2026-32201），另一個則是現身於 17 年前、微軟於 2009 年修補的 Excel 漏洞（CVE-2009-0238）。

駭客重演舊招

根據微軟在 17 年前的公告，CVE-2009-0238 是個存在於 Microsoft Office Excel 的記憶體毀損漏洞。當使用者開啟包含異常物件的特製 Excel 檔案時，駭客便能成功利用該漏洞進行遠端程式碼執行。儘管此漏洞已存在多年，但仍有不少政府部門、商業機構及翻版軟件用家在使用，且未安裝任何安全更新或修補程式，導致仍被黑客以 17 年前的漏洞進行攻擊。

為何舊漏洞仍被利用

文章指出，新的 KEV 清單意味著仍有部分系統迄今仍在使用受到影響的舊版 Office。許多組織為了節省成本或維持舊有系統運作，並未及時更新軟體，這使得陳年漏洞再次成為威脅者攻擊的目標。