- CISA añade un fallo de Excel de hace 18 años (CVE-2009-0238) al catálogo de KEV
- La vulnerabilidad habilita RCE a través de archivos Excel maliciosos que fueron parcheados hace mucho tiempo
- Los sistemas más antiguos todavía están en riesgo; Se ha ordenado a las agencias que parcheen antes del 28 de abril.
Por increíble que parezca, todavía hay sistemas vulnerables a una vulnerabilidad de Microsoft Excel de hace 18 años y, sorprendentemente, los ciberdelincuentes se están aprovechando de ese hecho.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) actualizó recientemente su catálogo de vulnerabilidades explotables conocidas (KEV) para agregar CVE-2009-0238, un error descubierto por primera vez en Microsoft Excel en 2009, a una lista de fallas que se ha confirmado que han sido explotadas en la naturaleza.
Según la Base de datos nacional de vulnerabilidades (NVD), el error permite a los actores de amenazas ejecutar código arbitrario (RCE) a través de un documento Excel diseñado “que inicia un intento de acceso a un objeto no válido”.
El artículo continúa a continuación.
Una semana para parchear
Con una puntuación de gravedad de 8,8/10 (alta), esta vulnerabilidad se observó por primera vez cuando se entregó el malware Trojan.Mdropper.AC.
Afecta a Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP3 y 2007 SP1; Visor de Excel 2003 Gold y SP3; Visor de Excel; Paquete de compatibilidad para formatos de archivo SP1 de Word, Excel y PowerPoint 2007; y Excel en Microsoft Office 2004 y 2008 para Mac. Fue parcheado literalmente hace años.
Aun así, parece que todavía hay sistemas que utilizan este software muy obsoleto y, por tanto, vulnerable. CISA agregó el error a KEV el 14 de abril de 2026 y FCEB dio a las agencias una semana para solucionarlo (28 de abril).
Aparte de eso, no sabemos mucho sobre quién está explotando el error y con qué propósito. CISA no pudo decir si la falla se está utilizando en infecciones de ransomware. Podemos suponer que los ataques incluyeron un correo electrónico de phishing con un documento de Excel armado.
Además, si asumimos que las versiones que no están en la lista son seguras, esto significa que cualquiera que las ejecute no corre ningún riesgo:
Excel 2007 (SP2 y posterior)
excel 2010
excel 2013
excel 2016
excel 2019
excel 2021
Excel para Microsoft 365 (todas las versiones)
Excel para Mac (versiones posteriores a 2008).
a través de Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
