- CISA が18年前の Excel 欠陥 (CVE‑2009‑0238) を KEV カタログに追加
- 脆弱性により悪意のある Excel ファイルを経由した RCE が可能になり、以前にパッチされている
- 古いシステムはまだ危険にさらされており、機関は4月28日までにパッチを適用するよう命じられている
信じられないかもしれませんが、まだ18年前のマイクロソフト Excel の脆弱性に対して脆弱なシステムが存在し、当然のことながら、サイバー犯罪者はその事実を利用しています。
米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は最近、既知の悪用脆弱性 (KEV) カタログを更新しました。このカタログは野生で悪用されていることが確認されている欠陥のリストで、2009年に最初に発見されたマイクロソフト Excel のバグである CVE-2009-0238 を追加しました。
National Vulnerability Database (NVD) によると、このバグは脅威アクターが「無効なオブジェクトへのアクセス試行をトリガーする」細工された Excel ドキュメントを介して任意のコード (RCE) を実行できます。
記事を続ける
パッチ適用までの1週間
この脆弱性は 8.8/10 (高) の重大度スコアが与えられており、最初は Trojan.Mdropper.AC マルウェアの配布が観察されました。
これは Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、および 2007 SP1 に影響します。Excel Viewer 2003 Gold および SP3、Excel Viewer、Word、Excel、PowerPoint 2007 ファイル形式の互換性パック SP1、および Mac 用 Microsoft Office 2004 および 2008 の Excel に影響します。これはずっと前にパッチされました。
それでも、このひどく古く、脆弱なソフトウェアを使用しているシステムがまだあるようです。CISA は2026年4月14日にバグを KEV に追加し、FCEB 機関に1週間のパッチ適用期間 (4月28日) を与えました。
それ以外に、誰がバグを悪用しているのか、そしてそれが何の目的かについてはほとんどわかりません。CISA は、この欠陥がランサムウェア感染に使用されているかどうかを述べることができませんでした。攻撃には、武装化された Excel ドキュメントを含むフィッシング メールが含まれていると仮定できます。
さらに、リストに載っていないバージョンが安全であると仮定すると、これらを実行している人は誰でもリスクにさらされていないことになります:
Excel 2007 (SP2 以降)
Excel 2010
Excel 2013
Excel 2016
Excel 2019
Excel 2021
Excel for Microsoft 365 (すべてのバージョン)
Excel for Mac (2008 より新しいバージョン)。
もちろん、TikTok で TechRadar をフォローして、ニュース、レビュー、ビデオ形式のアンボックスを確認したり、WhatsApp でも定期的なアップデートを受け取ることもできます。
