Thought Leadership
Eine Sicherheitslücke aus dem Jahr 2009 wird erneut für gezielte Angriffe genutzt. Während Unternehmen Milliarden in modernste Abwehr investieren, finden Hacker durch uralte Excel-Dokumente und automatisierte SharePoint-Exploits einen verheerenden Weg in geschützte Netzwerke.
Die Welt der Cybersicherheit ist normalerweise von einem rasanten Wettrüsten geprägt. Täglich erscheinen neue Schwachstellen, und die Halbwertszeit von Exploits ist oft kurz. Doch aktuell sorgt ein Fund der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) für Erstaunen in der Fachwelt. In ihrem neuesten Bericht zur Lage der Bedrohungslandschaft hat die Behörde eine Sicherheitslücke in Microsoft Office auf die Liste der aktiv ausgenutzten Schwachstellen gesetzt, die bereits seit 17 Jahren existiert, berichtet PC Gamer.
Die betroffene Schwachstelle mit der Bezeichnung CVE-2009-0238 wurde ursprünglich im Februar 2009 dokumentiert. Dass eine solche „Altlast“ fast zwei Jahrzehnte später erneut zum Werkzeug für Cyberkriminelle wird, unterstreicht ein wachsendes Problem der IT-Infrastruktur: die Langlebigkeit von Legacy-Systemen und die Effektivität klassischer Angriffsmethoden, die trotz moderner Schutzschilde funktionieren.
Ein trojanisches Pferd im Tabellenformat
Bei CVE-2009-0238 handelt es sich um eine Schwachstelle für Remote Code Execution (RCE), also die Ausführung von Schadcode aus der Ferne. Die Bedrohung wird durch ein speziell manipuliertes Excel-Dokument ausgelöst. Wenn ein Nutzer eine solche Datei öffnet, die ein fehlerhaftes oder böswillig konstruiertes Objekt enthält, kann der Hacker die vollständige Kontrolle über das betroffene System übernehmen.
Historisch wurde dieser Exploit genutzt, um sogenannte Trojan-Dropper zu installieren. Diese fungieren als digitale Türöffner, die nach der ersten Infektion weiteren Schadcode nachladen und im System injizieren. Die Gefährlichkeit dieser Methode liegt in ihrer Einfachheit und der Tarnung als gewöhnliche Bürodatei. Mit einem Schweregrad-Score von 8,8 wird die Lücke als hochriskant eingestuft. Dieser Wert ergibt sich aus der Kombination der verheerenden Folgen einer erfolgreichen Übernahme und der relativen Leichtigkeit, mit der ahnungslose Mitarbeiter zum Öffnen einer Excel-Datei verleitet werden können.
Warum kehren alte Lücken zurück?
Dass Microsoft das Problem bereits vor Jahren offiziell gepatcht hat, schützt die globale Infrastruktur offenbar nicht vollständig. Die CISA hat Bundesbehörden nun eine Frist von zwei Wochen gesetzt, um sicherzustellen, dass die entsprechenden Systeme endgültig abgesichert sind. Die aktive Nutzung dieser Lücke im Jahr 2026 deutet darauf hin, dass Bedrohungsakteure gezielt nach Netzwerken suchen, in denen veraltete Software-Versionen oder ungepatchte Instanzen von Microsoft Office Excel (insbesondere Versionen wie 2000, 2002, 2003 und 2007) noch immer im Einsatz sind. Und das oft in kritischen Infrastrukturen oder Behörden, die auf jahrzehntealte Software angewiesen sind.
Parallelgefahr: SharePoint-Spoofing und KI-Automatisierung
Zusätzlich zu dem Excel-Oldtimer hat die CISA eine brandneue Schwachstelle in Microsoft Office SharePoint (CVE-2026-32201) gemeldet. Mit einem Score von 6,5 scheint sie auf den ersten Blick weniger bedrohlich, doch der Teufel steckt im Detail: Diese Lücke erlaubt „Spoofing über ein Netzwerk“ und gilt als vollständig automatisierbar.
Experten warnen, dass vor allem KI-Agenten in der Lage sind, diesen Exploit massenhaft durchzuführen. Durch Manipulation der Art und Weise, wie Informationen den Nutzern präsentiert werden, können Angreifer gefälschte Inhalte innerhalb vertrauenswürdiger SharePoint-Umgebungen platzieren. In Kombination mit Social Engineering führt dies dazu, dass Mitarbeiter bösartige Anweisungen oder Dokumente für legitim halten, da sie aus einer scheinbar sicheren internen Quelle stammen.
KI als Brandbeschleuniger der Cyberkriminalität
Der Kontext dieser Angriffe ist eine Cyberkriminalitäts-Ökonomie, die im vergangenen Jahr 2025 Verluste in Höhe von fast 21 Milliarden US-Dollar verursacht hat. Künstliche Intelligenz spielt hierbei eine Doppelrolle. Sie wird nicht nur zur Forschung und Automatisierung von Scams genutzt, sondern ermöglicht auch raffinierte Täuschungsmanöver.
Ein besorgniserregender Trend sind Deepfake-Angriffe, bei denen CEOs digital nachgeahmt werden. In diesen Fällen fordern vermeintliche Vorgesetzte ihre Mitarbeiter auf, dringende Fehlerbehebungen durchzuführen. Die dafür bereitgestellten Programme enthalten jedoch die eigentlichen Schaddateien, oft basierend auf alten Exploits wie dem nun wiederentdeckten Excel-Bug.
Empfehlungen für Unternehmen nach der Excel-Sicherheitslücke
Die Wiederbelebung von CVE-2009-0238 ist eine Mahnung an alle IT-Verantwortlichen. Die CISA empfiehlt, die Inventarisierung von Software-Assets zu verschärfen und sicherzustellen, dass keine ungepatchten Microsoft Office-Installationen mehr im Netzwerk vorhanden sind. Da die Angreifer „Klassiker“ aus der Trickkiste ziehen, sobald diese Erfolg versprechen, reicht es nicht aus, sich nur gegen die Bedrohungen von morgen zu wappnen.
Zudem sollte die Überwachung von SharePoint-Umgebungen auf ungewöhnliche Content-Änderungen und Authentifizierungsmuster intensiviert werden. In einer Welt, in der KI-Agenten Schwachstellen im Sekundentakt scannen und ausnutzen können, ist die Zeitspanne zwischen Entdeckung und Angriff auf ein Minimum geschrumpft. Cybersicherheit daher auch: Die Vergangenheit patchen, um die Zukunft zu sichern.
