В мире кибербезопасности время не всегда работает на защиту. Агентство кибербезопасности и инфраструктурной безопасности США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities), добавив две проблемы в программном обеспечении Microsoft. Что делает эту новость примечательной, так это временной разрыв между обнаружением этих уязвимостей и их повторным использованием злоумышленниками. Речь идёт о критической ошибке в Microsoft Excel 2009 года и относительно свежей проблеме в SharePoint Server 2026 года. Это наглядный урок о важности своевременного обновления систем, даже если связанные с ними риски кажутся давно забытыми.
Детали уязвимостей
Первая из добавленных уязвимостей, идентифицированная как CVE-2009-0238, является классическим примером устаревшей, но всё ещё опасной проблемы. Она была обнаружена и исправлена корпорацией Microsoft ещё в феврале 2009 года. Уязвимость позволяет удалённо выполнить произвольный код и затрагивает целый ряд версий Microsoft Office Excel, включая Excel 2000, 2002, 2003 и 2007, а также версии для Mac и просмотрщики файлов. Механизм эксплуатации основан на специально сформированном документе Excel, который заставляет программу обращаться к несуществующему объекту в памяти, что приводит к выполнению вредоносного кода. В первоначальных инцидентах 2009 года эта уязвимость использовалась для распространения троянской программы-дроппера Trojan.Mdropper.AC, которая, в свою очередь, устанавливала дополнительное вредоносное программное обеспечение на компьютер жертвы.
Тот факт, что CISA сочла необходимым добавить эту 17-летнюю уязвимость в свой каталог KEV в 2026 году, говорит о многом. Во-первых, это прямое свидетельство того, что злоумышленники целенаправленно ищут и используют старые, неисправленные уязвимости в корпоративных и государственных сетях. Подобные атаки часто оказываются успешными именно на устаревших системах, которые по каким-либо причинам не были обновлены, будь то критическое производственное оборудование, забытые серверы или просто нерадивое отношение к патч-менеджменту. Во-вторых, это подчёркивает долгосрочный характер угрозы. Уязвимость, которая кажется историческим артефактом, может быть реанимирована в рамках целенаправленной кампании, особенно если целевая организация использует специализированное программное обеспечение, зависящее от старых версий Office.
Вторая уязвимость, CVE-2026-32201, представляет собой более современную, но не менее тревожную угрозу. Она была опубликована в апреле 2026 года и касается серверов Microsoft SharePoint 2016, 2019 и Subscription Edition. Проблема классифицируется как уязвимость подмены (spoofing) из-за недостаточной проверки входных данных (improper input validation). Это распространённый класс ошибок безопасности (CWE-20), когда приложение некорректно обрабатывает информацию, полученную от пользователя или из сети, что позволяет злоумышленнику искажать данные или выдавать себя за другого. В случае с SharePoint такая уязвимость может позволить неавторизованному атакующему выполнить атаку подмены через сеть.
Оценка по шкале CVSS 3.1 для этой уязвимости составляет 6.5 баллов (средний уровень), однако статус "активно эксплуатируется" кардинально меняет её приоритет для специалистов по безопасности. Вектор атаки "сеть" (AV:N) и низкая сложность эксплуатации (AC:L) без необходимости предварительной аутентификации (PR:N) или взаимодействия с пользователем (UI:N) делают её привлекательной целью для массового сканирования и автоматизированных атак. Успешная эксплуатация может привести к раскрытию ограниченного объёма информации (C:L) и её целостности (I:L), хотя и не влияет на доступность системы (A:N). Факт активной эксплуатации в природе (E:F) при полностью подтверждённой информации об уязвимости (RC:C) указывает на то, что эксплойты уже существуют и применяются реальными группами злоумышленников.
Возвращение в активную эксплуатацию такой древней уязвимости, как CVE-2009-0238, заставляет по-новому взглянуть на стратегию управления рисками. Это не просто техническая проблема, а управленческий вызов. Организации должны не только следить за свежими обновлениями безопасности, но и проводить регулярный аудит своих активов на предмет наличия устаревшего, неподдерживаемого программного обеспечения (legacy systems). Зачастую такие системы оказываются "слепыми зонами" в программах киберзащиты. Между тем, атакующие активно включают старые эксплойты в свой арсенал, особенно при проведении целевых атак, где разведка предшествует вторжению. Обнаружив в сети жертвы систему с неустранённой уязвимостье 2009 года, злоумышленник получает идеальную точку входа.
Что касается CVE-2026-32201 в SharePoint, то её эксплуатация в дикой природе всего через день после публикации деталей - тревожный сигнал о скорости, с которой киберпреступные группировки адаптируют новые векторы атак. SharePoint часто является критическим компонентом корпоративной инфраструктуры, хранящим конфиденциальные документы, данные для совместной работы и являющимся узлом внутренних бизнес-процессов. Компрометация такого сервера через уязвимость подмены может стать первым шагом к горизонтальному перемещению по сети, краже интеллектуальной собственности или установке программ-вымогателей.
Таким образом, совместное появление этих двух уязвимостей в каталоге CISA иллюстрирует два фундаментальных принципа современной кибербезопасности: постоянство старых угроз и стремительность новых. Защита требует комплексного подхода, включающего как безусловное и быстрое применение патчей для современных систем, так и стратегическую работу по выводу из эксплуатации или строгой изоляции устаревших активов. История CVE-2009-0238 доказывает, что в цифровом мире нет срока давности, и ошибка, совершённая почти два десятилетия назад, может аукнуться сегодня, если за ней не следить. Рекомендации в данном случае очевидны, но оттого не менее важны: организациям необходимо немедленно проверить наличие и применить соответствующие обновления безопасности от Microsoft для всех версий SharePoint Server и убедиться, что в их сетях отсутствуют непропатченные версии Microsoft Office, подверженные CVE-2009-0238. В условиях, когда угрозы из прошлого и настоящего сливаются в единый оперативный ландшафт, бдительность и дисциплина в области обновлений остаются ключевыми элементами защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2009-0238
- https://www.cve.org/CVERecord?id=CVE-2026-32201
- http://www.microsoft.com/technet/security/advisory/968272.mspx
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201
- https://www.cisa.gov/news-events/alerts/2026/04/14/cisa-adds-two-known-exploited-vulnerabilities-catalog
