CVE-2009-0556: The 2009 PowerPoint But that Refuses to Die
2009年的PowerPoint漏洞,至今仍不死
2009年,时任某中心恶意软件团队研究员的Ziv Mador和Cristian Craioveanu记录了一个影响特定版本Windows PowerPoint(Windows PowerPoint 2000 SP3、2002 SP3、2003 SP3以及某中心Office 2004 for Mac中的PowerPoint)的显著代码注入漏洞。
该漏洞,编号CVE-2009-0556,使远程攻击者能够通过一个包含无效索引值的PowerPoint文件利用内存损坏问题来执行任意代码。这个无效索引值存在于OutlinetextRefAtom记录中。
现在,让我们从其原始披露重新审视CVE-2009-0556,探究为何在近二十年后它再次变得相关,并分析其被列入“已知已利用漏洞”目录这一事件,揭示了当前企业安全状态、补丁管理状况和攻击者战术的哪些信息。
这个漏洞是在一个时代中被披露的众多问题之一,当时遗留的Windows组件、宽松的默认配置和有限的漏洞缓解措施在企业环境中普遍存在。该漏洞随后得到了修复;发布了安全公告,并提供了如何避免该漏洞的指导。之后,业界继续向前发展。
图1. 微软恶意软件保护中心的网页存档截图 来源:web.archive.org/web/2009040…
致力于追踪和根除世界上最具有挑战性的威胁。
...或者看起来是这样。
图2. CISA-KEV目录中的CVE-2009-0556 来源:www.cisa.gov/known-explo…
时光飞逝,来到2026年,CVE-2009-0556在2026年1月7日被列入CISA已知已利用漏洞目录后,再次引起了高度关注。其被纳入该目录揭示了一个防御者无法忽视的关键现实:漏洞并不会仅仅因为年代久远而失去其相关性。当遗留系统、错误配置或向后兼容的组件持续存在时,旧的攻击同样会持续存在。
当遗留系统无法退役时,相关的风险必须通过严格的隔离来管理。这些系统应与企业网络隔离,且绝不暴露在公共互联网上,并在打补丁不再可行时,采取补偿性控制措施来降低其可利用性。
