FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全社区近日拉响警报，黑客论坛上出现名为Zeroplayer的威胁行为者正在出售针对微软Office和Windows系统的0Day远程代码执行（RCE）漏洞，该漏洞还包含沙箱逃逸功能。据称该漏洞利用链标价3万美元，可影响包括最新版本在内的大多数Office文件格式，甚至能突破已完全打补丁的Windows系统防护。

漏洞详情分析

该漏洞广告发布于俄语黑客论坛，描述称这是一个具有高影响力的0Day漏洞，可通过恶意Office文档投放有效载荷。Zeroplayer声称该利用链能使攻击者突破Office沙箱（这一关键安全功能本用于隔离潜在有害代码），最终实现Windows系统的完全控制。攻击载体通常是将漏洞利用代码嵌入Word或Excel等常见文件类型，通过钓鱼邮件或遭入侵网站进行传播。

卖家通过私信方式提供漏洞演示和PoC细节，特别强调该漏洞与近期更新兼容，可有效规避杀毒软件检测。这并非Zeroplayer首次涉足漏洞交易市场——该攻击者曾在2025年7月以8万美元价格出售WinRAR 0Day RCE漏洞，其攻击目标明显集中于广泛使用的办公和压缩软件。

潜在危害评估

微软在2025年11月的补丁星期二中修复了Office多个关键RCE漏洞，包括可通过恶意文档利用的释放后使用漏洞（CVE-2025-62199）。但现有补丁仅针对已知问题，未涉及这个新曝光的0Day漏洞，加之其沙箱逃逸特性，使得威胁程度更为严峻。沙箱逃逸会瓦解Office防御宏攻击的主要屏障，使恶意软件能够在网络内横向传播。

安全专家指出，俄语黑客论坛常成为国家级黑客或机会主义威胁行为者的聚集地，此类漏洞可能被武器化用于勒索软件、间谍活动或数据窃取。历史案例显示，俄罗斯黑客组织Storm-0978曾在2023年利用Office RCE漏洞（CVE-2023-36884）针对西方目标部署后门程序。

企业防护建议

该0Day漏洞对依赖Microsoft 365的企业影响尤为严重，攻击者可能借此入侵供应链或实施定向渗透，规避端点检测响应。鉴于Office在全球超过14亿设备上的普及率，未打补丁的系统面临鱼叉式钓鱼攻击的高风险。企业应立即采取以下措施：

• 在Office策略中强制禁用宏
• 为所有文档启用"受保护的视图"模式
• 部署高级威胁防护工具

安全团队需密切监控异常论坛活动，并紧急应用即将发布的补丁。若出现漏洞利用证据，微软可能会加速修复进程。

参考来源：

Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）