一项早在17年前披露的Microsoft Excel漏洞，至今仍在被攻击者利用。安全行业警告称，仍在运行已停止支持的旧版Office环境，正持续暴露于网络攻击风险之中。

据IT媒体TechRadar 16日（当地时间）报道，美国网络安全与基础设施安全局（CISA）已将Excel漏洞“CVE-2009-0238”列入“已知被利用漏洞”（KEV）目录，表明该漏洞已被用于实际攻击。

公开信息显示，该漏洞最早于2009年报告，可通过经过篡改的Excel文件触发远程代码执行。根据美国国家漏洞数据库（NVD）的说明，攻击者可构造恶意文档，诱导程序执行非法对象访问；一旦用户打开相关文件，系统就可能遭到入侵。

从风险评级看，该漏洞危险等级较高，CVSS评分为8.8分。过去也曾有案例显示，攻击者利用这一漏洞传播“Trojan.Mdropper.AC”恶意软件。

受影响的主要是已结束支持的旧版产品，包括Excel 2000 SP3、Excel 2002 SP3、Excel 2003 SP3、Excel 2007 SP1，以及Excel Viewer 2003、Office 2007兼容包SP1、Mac版Office 2004和2008中的Excel等。尽管微软早已提供补丁，但部分机构至今仍在使用相关旧版本，风险因此持续存在。

在将该漏洞列入KEV目录后，CISA要求美国联邦文职行政部门（FCEB）机构最迟于本月28日前完成修复。由于该漏洞已确认存在在野利用，CISA认为相关处置需要立即推进。

目前，发起攻击的主体及其具体目的尚未披露。安全行业普遍认为，带有恶意Excel附件的钓鱼邮件很可能是主要传播途径。不过，该漏洞是否与勒索软件攻击存在直接关联，尚未得到确认。

与此同时，较新版本的Excel被认为不受此次漏洞影响。Excel 2007 SP2及以上版本，以及2010、2013、2016、2019、2021和Microsoft 365版本的Excel，均不在受影响范围内。

这一事件再次说明，即便是已发布补丁的老漏洞，只要长期未得到处置，仍可能重新成为攻击入口。对于仍在运行停止支持软件的机构而言，一份文档就可能触发远程代码执行风险，尽快排查现网旧系统并推进升级，已成为当务之急。