据《The Register》报道，正当微软本周推出大规模“补丁星期二”更新之际，美国网络安全机构CISA就一项已存在17年的Excel高危漏洞发出预警，该漏洞目前正被用于实际攻击。

微软在4月14日发布165个补丁后不久，CISA确认，CVE-2009-0238（漏洞评分9.3分，高危）已于2009年2月24日首次公开，如今正被用于活跃攻击（first published on February 24, 2009, was being abused in active attacks）。

CISA已将该漏洞加入已知被利用漏洞（KEV）目录，并为联邦民用行政部门机构设定两周修补期限——比常规期限缩短一周。

与以往发布KEV清单时的惯例一样，CISA并未过多披露该Excel漏洞的具体利用方式、攻击者身份及攻击目的。

不过，其对CVE-2009-0238的描述与微软最初公告保持一致。该漏洞属于远程代码执行（RCE）漏洞，攻击者可诱骗受害者打开包含畸形对象的特制Excel文档触发漏洞（that attackers can trigger by convincing victims to open a specially crafted Excel document that "includes a malformed object."）。

2009年该漏洞首次被发现遭Trojan.Mdropper.AC木马利用时，微软就已向社区通报并发布修复程序。该木马是一种加载器，用于在后续攻击中投放其他恶意软件。

- Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1

- Excel Viewer 2003 完整版及 SP3

- Excel Viewer

- Word、Excel、PowerPoint 2007 文件格式兼容包 SP1

- Microsoft Office 2004、2008 for Mac 中的 Excel

微软在2009年首次披露时的公告中表示：“攻击者成功利用这些漏洞后，可完全控制受影响系统（An attacker who successfully exploited these vulnerabilities could take complete control of an affected system）。”

“攻击者可安装程序、查看、修改或删除数据，或创建拥有完整用户权限的新账户。在系统中被配置为低权限用户账户的受影响程度，低于以管理员权限运行的用户。”

与CVE-2009-0238一同被列入CISA的KEV目录的，还有一个近期出现的漏洞——CVE-2026-32201（评分6.5分），该漏洞已在本周“补丁星期二”更新中修复。

微软在公告中确认，这一SharePoint服务器欺骗漏洞属于“零日漏洞”，已遭在野利用，但未披露幕后攻击者信息（The SharePoint Server spoofing flaw was exploited as a zero-day, Microsoft confirmed in its advisory. It did not say who was behind it, however）。

该漏洞源于输入验证不当，允许攻击者通过网络伪造数据。成功利用可使攻击者获取敏感信息，并篡改已公开内容。

补丁管理厂商Action1总裁兼联合创始人迈克·沃尔特斯本周向《The Register》表示：“利用该漏洞，攻击者可篡改信息呈现方式，有可能诱骗用户信任恶意内容。”

沃尔特斯补充说，该漏洞完全可用于钓鱼活动或其他社会工程学攻击（Walters added that the vulnerability could feasibly be used as part of phishing campaigns or other forms of social engineering attacks）。

“该漏洞让攻击者能够大规模伪造可信身份：看似合法的内容，实则可能是精心设计的骗局。攻击者可在受信任的SharePoint环境中展示虚假信息，欺骗员工、合作伙伴或客户。