Falha de 17 anos no Excel está sendo explorada por cibercriminosos e foi alertada pela agência de defesa cibernética dos EUA

A CISA adicionou a CVE-2009-0238 (CVSS 9.3), uma vulnerabilidade de RCE no Microsoft Excel de 2009, acionada por um documento com objeto malformado e originalmente usada para instalar o Trojan.Mdropper.AC, ao seu catálogo de Vulnerabilidades Conhecidas Exploradas em 14 de abril, após confirmar novas explorações ativas contra instalações legadas do Office 2000/2002/2003/2007 e Office 2004/2008 para Mac. A CISA também catalogou a CVE-2026-32201 (CVSS 6.5), um zero-day de spoofing no SharePoint Server corrigido no Patch Tuesday desta semana, que a Microsoft classificou como automatizável. As agências FCEB têm um prazo de duas semanas para correção. Os defensores devem auditar implantações de Office em fim de vida útil, aplicar o MS09-009 onde binaries vulneráveis persistirem, e bloquear anexos de Excel de entrada no gateway para hosts que não podem ser atualizados.