CVE-2009-0238 segue ativa em empresas que mantêm planilhas legadas
Microsoft Excel – A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) voltou a alertar, recentemente, para a falha CVE-2009-0238 nos editores Excel 2000 SP3 até Office 2008 para Mac, vulnerabilidade que ainda permite execução remota de código e se tornou vetor de ransomware em ambientes corporativos.
- Em resumo: hackers usam arquivos .xls maliciosos para assumir o sistema e roubar dados sigilosos.
Como a brecha persiste 14 anos após o patch
De acordo com reportagem detalhada no The Hacker News, o exploit manipula objetos inválidos dentro da planilha para carregar o malware Trojan.Mdropper.AC, contornando proteções de memória e escalonando privilégios.
“Uma tentativa de acesso a um objeto inválido permite a invasão completa do host”, descreve o Banco de Dados Nacional de Vulnerabilidades (NVD).
Legado, compliance e exposição financeira
Embora a Microsoft tenha lançado correções ainda em 2009, softwares fora de suporte continuam instalados: estimativa da firm Statista aponta que 11 % dos PCs corporativos rodam versões do Office lançadas antes de 2010. Esse cenário viola requisitos de frameworks como NIST e SOC 2, aumenta o risco regulatório (LGPD) e impõe custos médios de US$ 4,45 mi por incidente, segundo o relatório 2023 da IBM.
O que você acha? Sua empresa ainda utiliza planilhas em versões antigas? Para aprofundar o tema, acesse nossa editoria de cibersegurança.
Crédito da imagem: Divulgação / Microsoft
