Microsoftが今週の大型Patch Tuesdayアップデートをロールアウトしている一方で、米国のサイバーセキュリティ機関CISAは、現在悪用されている17年前の重大なExcelの欠陥に関するアラートを準備していました。
CISAはMicrosoftが4月14日に165個のパッチをロールアウトした直後、2009年2月24日に最初に公開されたCVE-2009-0238(9.3)が活動的な攻撃で悪用されていることを確認しました。
バグを既知の悪用脆弱性(KEV)カタログに追加し、連邦政府民間行政機関(FCEB)に2週間の修正期限を設定しました。これは通常の期限より1週間短いものです。
CISAは、Excelの脆弱性がどのように悪用されているか、誰が、どのような目的で悪用しているかについては、KEV公開と同様にほとんど明かしていません。
ただし、CVE-2009-0238の説明はMicrosoftの最初の勧告から変更されていません。これはリモートコード実行(RCE)の問題であり、攻撃者は被害者に「不正な形式のオブジェクトを含む」特別に作成されたExcelドキュメントを開くよう説得することでトリガーできます。
Microsoftは、Trojan.Mdropper.AC(後続の攻撃で他のマルウェアを配信するために使用されるローダー)による悪用が最初に発見されたとき、コミュニティに通知し、CVE-2009-0238の修正を発行しました。
影響を受けるバージョンは以下の通りです:
- Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、および2007 SP1
- Excel Viewer 2003 Gold および SP3
- Excel Viewer
- Word、Excel、PowerPoint 2007ファイル形式用互換パック SP1
- Mac用 Microsoft Office 2004および2008のExcel
「これらの脆弱性を正常に悪用した攻撃者は、影響を受けたシステムを完全に制御できる可能性がある」と、2009年の最初の開示時点で勧告でMicrosoftは述べています。
「その後、攻撃者はプログラムをインストールしたり、データを表示、変更、または削除したり、フルユーザー権限で新しいアカウントを作成したりできます。システムのユーザー権限が少なく設定されているアカウントを持つユーザーは、管理ユーザー権限で操作するユーザーより影響が少ない可能性があります。」
CISAのKEVカタログでCVE-2009-0238に加わったのは、はるかに最近の脆弱性であり、今週のPatch Tuesdayで対処されたCVE-2026-32201(6.5)です。
SharePoint Serverのなりすまし欠陥はゼロデイとして悪用されました。Microsoftは勧告でこれを確認しました。ただし、背後にいるのは誰かは述べられていません。
欠陥は入力値の検証が不適切であるために存在し、攻撃者はネットワーク上でデータをなりすますことができます。成功した悪用は攻撃者に機密情報へのアクセスと開示された情報を変更する能力を与えることができます。
パッチ管理プロバイダーAction1の社長兼共同創業者であるMike Waltersは、今週The Registerに次のように述べています。「この欠陥を悪用することで、攻撃者はユーザーに情報がどのように提示されるかを操作し、悪意のあるコンテンツを信頼するように騙す可能性があります。」
Waltersは、この脆弱性はフィッシングキャンペーンまたは他の形式のソーシャルエンジニアリング攻撃の一部として実行可能に使用できると述べています。
「この欠陥により、攻撃者は信頼をスケール規模で偽造できます。正当なように見えるものは、実際には慎重に作成された欺きである可能性があります。信頼できるSharePoint環境内で虚偽の情報を提示することで、従業員、パートナー、または顧客をだますために使用できます。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/15/excel_exploit/
