CISA KEV清單新增微軟兩大已知被利用漏洞!本文詳解 Excel 遠端程式碼執行漏洞與 SharePoint 輸入驗證不當漏洞之手法,並提供系統升級與安全更新防護指南,助企業全面防範駭客將其作為初始入侵據點。
美國網路安全暨基礎設施安全局(CISA)於 2026年4月14日將CVE-2009-0238(Excel RCE 漏洞)與 CVE-2026-32201(SharePoint 驗證繞過漏洞)兩項漏洞正式列入「已知被利用漏洞(KEV)」清單。
將這兩個跨越十多年的漏洞同時列入清單,向資安界釋放了重要訊號:過往的遺留系統(Legacy Bugs)威脅並未消失,且已被駭客實際利用,對政府與企業網路構成高度的即時風險。
一、CVE-2009-0238:Microsoft Office Excel 遠端程式碼執行漏洞
(一) CVE-2009-0238漏洞簡述
此漏洞為舊版 Excel(如 Office 2000、2003 及早期 Mac 版本)的記憶體損壞(Memory Corruption)缺陷。駭客常用的手法是網路釣魚:他們會寄一封看似普通的信件,附上特製的舊版 Excel 檔案(如 .xls 格式)。當使用者開啟含有惡意物件的 Excel 文件後,駭客即可取得與使用者相同權限,並進一步植入木馬、竊取資料或橫向移動。
(二) 修補與防護方式
1、系統升級與淘汰
微軟早已發布安全更新(MS09-009),企業應立即淘汰過時的舊版 Office,全面升級至 Microsoft 365 或較新支援版本,並將檔案格式轉換為現代的 .xlsx。
2、限制檔案與巨集
停用不必要的巨集(Macro)功能,並利用網際網路閘道或郵件伺服器限制、封鎖不明來源的舊版 Excel(如 .xls)附件。
3、端點與邊界防禦
部署 EDR(端點偵測與回應)或防毒系統,即時攔截並隔離具備可疑二進位結構的惡意文件,降低社交工程攻擊風險。
三、CVE-2026-32201:Microsoft SharePoint Server 輸入驗證不當漏洞
(一) CVE-2026-32201漏洞簡述
此漏洞屬於輸入驗證不足(CWE-20)與欺騙(Spoofing)缺陷。其核心原理為 SharePoint Server 未能妥善校驗使用者提交的 HTTP 請求參數,導致攻擊者無須任何權限或使用者互動,即可透過精心設計的惡意請求(Crafted Request)繞過身分驗證機制,偽裝成合法使用者。由於 SharePoint 常作為企業核心協作與文件管理平台,攻擊者一旦成功利用此漏洞,可能進一步進行權限提升、敏感資料存取與橫向滲透,甚至成為入侵內部網域環境的跳板,對企業資訊安全造成重大威脅。
(二) 修補與防護方式
1、即刻套用安全更新
系統管理員應立刻前往微軟安全回應中心(MSRC),下載並安裝 2026年4月針對 SharePoint Server 釋出的最新安全性更新。
2、限制存取控制
限制從外部網際網路直接存取 SharePoint 管理介面;在修補完成前,應實施嚴格的來源 IP 白名單限制。
3、部署 WAF 與行為監控
啟用 WAF(網頁應用程式防火牆)以過濾並阻斷異常的惡意請求(Crafted Request),同時加強監控伺服器日誌,嚴密偵測任何未經授權的異常存取行為。
四、結論
CISA 將此兩項漏洞納入 KEV 清單,意味著兩者在野外(In the wild)均存在具體的活躍攻擊跡象。建議企業與政府機關依據 CISA BOD 22-01 指令,應優先進行 SharePoint 伺服器的漏洞修補與存取控管,並同步排除內部遺留的 Office Excel 舊檔案風險,以防範勒索軟體或駭客將其作為初始入侵據點。企業亦應持續強化漏洞修補、系統更新與存取控管機制,以降低遭受攻擊與敏感資料外洩之風險。
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!
參考資料:
1. https://www.cisa.gov/news-events/alerts/2026/04/14/cisa-adds-two-known-exploited-vulnerabilities-catalog
2. https://thehackernews.com/2026/04/microsoft-issues-patches-for-sharepoint.html
3. https://www.ithome.com.tw/news/175088
4. https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-32201
5. https://learn.microsoft.com/zh-tw/security-updates/securitybulletins/2009/ms09-009
