Stara luka w Excelu wróciła po 17 latach. Hakerzy znów mogą przejąć cały komputer

Przez lata wydawało się, że to jeden z tych błędów, o których branża bezpieczeństwa dawno zapomniała. Luka w programie Microsoft Excel została wykryta jeszcze w 2009 roku, szybko załatana i zepchnięta do archiwów jako relikt dawnych wersji pakietu Office. Teraz jednak ten sam problem niespodziewanie powrócił.

Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury poinformowała, że podatność ponownie zaczęła być wykorzystywana w realnych atakach. Dla wielu administratorów IT to sygnał alarmowy. Zwłaszcza że mowa o luce, która pozwala napastnikowi na przejęcie pełnej kontroli nad komputerem ofiary po otwarciu odpowiednio przygotowanego pliku Excela.

Zapomniany błąd znów stał się bronią

Podatność oznaczona jako CVE-2009-0238 została po raz pierwszy opisana 24 lutego 2009 roku. Już wtedy eksperci ocenili ją bardzo wysoko pod względem ryzyka. W skali CVSS otrzymała 9,3 punktu na 10 możliwych.

Mechanizm ataku jest wyjątkowo niebezpieczny. Cyberprzestępca przygotowuje specjalnie spreparowany arkusz kalkulacyjny zawierający uszkodzony obiekt osadzony w pliku. Wystarczy, że użytkownik otworzy dokument, a złośliwy kod może zostać uruchomiony bez dodatkowej zgody. Taki scenariusz daje napastnikowi możliwość instalowania programów, usuwania danych, modyfikowania plików oraz tworzenia nowych kont administracyjnych. W praktyce oznacza to sytuację, w której zwykły plik przesłany mailem może otworzyć przestępcy drzwi do całego systemu.

Programy pakietu Office od dawna są jednym z najczęstszych narzędzi wykorzystywanych w kampaniach malware. Dokumenty Worda i Excela regularnie pojawiają się w atakach phishingowych, bo użytkownicy nadal ufają plikom biurowym bardziej niż podejrzanym aplikacjom.

CISA ostrzega administrację USA

Największe poruszenie wywołała decyzja CISA o dodaniu tej luki do katalogu aktywnie wykorzystywanych podatności Known Exploited Vulnerabilities. To specjalna lista błędów, które nie są jedynie teoretycznym zagrożeniem, lecz zostały potwierdzone podczas prawdziwych cyberataków.

Amerykańskie instytucje federalne otrzymały nakaz zabezpieczenia systemów w ciągu dwóch tygodni. Tak krótki termin pojawia się rzadko i pokazuje, że zagrożenie zostało potraktowane wyjątkowo poważnie.

CISA nie podała, które grupy stoją za nową falą ataków. Nie ujawniono również, przeciwko jakim organizacjom użyto tej podatności. Sam fakt reaktywacji błędu sprzed niemal dwóch dekad wystarczył jednak, by wzbudzić niepokój w świecie cyberbezpieczeństwa.

Nie każdy użytkownik musi się obawiać

Dobra wiadomość jest taka, że problem dotyczy wyłącznie bardzo starych wersji programu Excel. Zagrożone są przede wszystkim wydania z pakietów Office 2000, Office XP, Office 2003 oraz część wczesnych wersji Office 2007. Ryzyko obejmuje także stare wersje Excela na komputerach Apple Mac sprzed wielu lat.

Osoby korzystające z nowoczesnego pakietu Microsoft 365 lub nowszych edycji Office nie powinny być narażone na ten konkretny atak. Problem pojawia się tam, gdzie w firmach nadal działają stare komputery, archiwalne systemy lub odizolowane stanowiska korzystające z dawnego oprogramowania.

Hakerzy coraz częściej wracają do starych metod

Eksperci zauważają, że cyberprzestępcy coraz chętniej sięgają po stare podatności. Powód jest prosty. Wiele firm skupia się na najnowszych zagrożeniach, jednocześnie pozostawiając w sieciach urządzenia i aplikacje, które od lat nie były aktualizowane.

Dla atakujących to wygodna sytuacja. Nie muszą szukać nowych luk, skoro mogą wykorzystać dobrze poznane mechanizmy sprzed kilkunastu lat. Wystarczy znaleźć organizację, która nadal korzysta z przestarzałego oprogramowania.

W przeszłości przestępcy wielokrotnie wykorzystywali starsze podatności Microsoft Office do rozsyłania trojanów, ransomware i narzędzi szpiegowskich. Teraz do tego katalogu wrócił kolejny stary mechanizm, który wielu uznawało już za martwy.