Старая дыра в Excel снова в деле: CISA внесла 17-летний баг в список реально эксплуатируемых

20.04.2026

В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 - старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках. Речь идет не о новом 0-day, а о давно известной бреши, которую снова начали использовать против систем с устаревшими версиями Office.

Механика атаки классическая для офисных документов: жертву нужно убедить открыть специально подготовленный Excel-файл. Если внутри есть поврежденный объект, Excel может выполнить произвольный код с правами текущего пользователя, а в удачном сценарии злоумышленник получает полный контроль над машиной. Microsoft еще в 2009 году описывала этот баг как remote code execution и выпускала под него критическое обновление MS09-009.

Уязвимость затрагивает совсем старые редакции - Excel 2000 SP3, 2002 SP3, 2003 SP3, 2007 SP1, Excel Viewer, Compatibility Pack 2007 SP1, а также Office 2004 и 2008 для Mac. В описании CVE отдельно указано, что этот баг уже использовался вживую еще в феврале 2009 года для доставки Trojan.Mdropper.AC. То, что он снова попал в KEV, показывает неприятную вещь: даже уязвимости почти двадцатилетней давности продолжают работать там, где в ходу старый Office и слабая гигиена по вложениям.

Защите здесь максимально простая: риск привязан не к новым версиям Excel, а к легаси-системам, которые давно должны были уйти из эксплуатации. Но именно такие «мертвые» офисные сборки до сих пор остаются удобной точкой входа через фишинг и вредоносные документы.