Podle údajů z National Vulnerability Database jde o chybu, která umožňuje spuštění libovolného kódu na napadeném zařízení. Mechanismus je přitom relativně nenápadný, kdy pouze stačí otevřít speciálně upravený Excel dokument, který vyvolá pokus o přístup k neplatnému objektu v paměti programu. Jakmile se tento přístup otevře, útočník ho okamžitě poté zneužije k tomu, aby do systému propašoval vlastní kód. Pro běžného uživatele to nebude nic divného, ten jen otevře přílohu, možná si ani ničeho nevšimne, a přesto už v tu chvíli může být jeho zařízení kompromitované.

Z dnešního pohledu ovšem nejde o žádnou novinku. Oprava této chyby existuje už dlouhé roky a zranitelnost dostala poměrně vysoké hodnocení závažnosti, konkrétně 8,8 z 10. Přesto se důraz neklade tomu, že samotná chyba existuje, ale spíše tomu, že se stále najdou systémy, které běží na dávno nepodporovaných verzích softwaru.

Dotčené jsou především staré verze Excelu, typicky z přelomu tisíciletí a první dekády po roce 2000, včetně některých verzí pro Mac nebo různých prohlížečů a kompatibilních balíčků. Na papíře to možná působí jako historický relikt, ale v praxi se s takovým softwarem pořád setkáme. Často jde o starší firemní infrastrukturu, kde by upgrade znamenal zásah do navázaných systémů, nebo o prostředí, kde se jednoduše nic neměnilo, protože to jakž takž fungovalo. Z toho samozřejmě vyvstává to hlavní bezpečnostní riziko, slepé místo.

Zajímavé je i načasování. CISA zařadila tuto zranitelnost do KEV katalogu 14. dubna 2026 a federálním agenturám dala zhruba dva týdny na nápravu, konkrétně do 28. dubna. Tak krátká lhůta naznačuje, že nejde o nějaké okrajové riziko, ale o problém, který má reálné dopady a pravděpodobně už se aktivně zneužívá. Přestože nebyly zveřejněny podrobnosti o konkrétních útočnících nebo kampaních, samotné zařazení na tento seznam je dostatečně silným signálem.

Jak přesně útoky probíhají, si lze poměrně dobře domyslet - je to jak přes kopírák... Začínají obyčejným e-mailem, který se tváří jako legitimní komunikace. Přílohou bývá Excel soubor, který může působit důvěryhodně - faktura, report, interní dokument. Jakmile ho uživatel otevře (což je bohužel - dvakrát podtrhuji bohužel - velmi časté), spustí se mechanismus, který zmíněnou chybu zneužije. V některých případech takto docházelo k šíření malwaru označovaného jako Trojan.Mdropper.AC, jehož úkolem je otevřít cestu dalším škodlivým nástrojům. Co přesně následuje potom, závisí na cíli konkrétních útočníků. Buďto může jít o krádež dat, špionáž, nebo přípravu půdy pro další fázi útoku.

KOMENTÁŘ: Jedná se však stále o komonické metody vnikávání s exploity, které lze snadno odhalit, ale musí s tím každý uživatel internetu počítat, a nemyslet si, že "jejich obsah je nedůležitý, a proto na ně nikdo nebude chtít zaútočit." To si totiž mnoho uživatelů pasivně přimýšlí, stejně jako například jedno krátké heslo ke dvaceti účtům u různých webových stránek, aby si dotyčný heslo dobře pamatoval a nemusel si jej zapisovat.

Bohužel ze samotné zprávy od CISA jsme se zatím nedozvěděli, k jakým konkrétním účelům je tato zranitelnost v současnosti využívána. Není například jasné, zda se používá i v rámci ransomwarových kampaní. To ale neznamená, že by takové využití bylo nepravděpodobné. Naopak, historie ukazuje, že jakmile existuje funkční exploit a dostatečný počet zranitelných systémů, dříve nebo později si k němu útočníci najdou cestu.

Pokud však budou nějaké updaty k tomuto tématu, určitě na to napíši ještě další článek. Nejsem si jistý, kolik z vás čtenářů využívá Excel ke svojí práci.

MŮŽETE NÁM TO SDĚLIT V ANKETĚ: 

⟹ Používáte v rámci své práce Excel? ⟸