据了解,这套漏洞利用工具链在黑市上的标价高达3万美元,能够影响包括最新版本在内的大多数Office文档格式,甚至足以突破已安装完整补丁的Windows系统防护。
网络安全社区近期拉响警报,有黑客论坛出现名为Zeroplayer的威胁行为者,正在公开出售针对微软Office和Windows系统的0Day远程代码执行漏洞,这个漏洞还附带沙箱逃逸功能。据称该漏洞利用链在黑市要价3万美元,能够覆盖从旧版到最新版的所有Office文档格式,连已经打好所有安全补丁的Windows防护机制也能被绕过。

漏洞技术分析
该漏洞信息最初在俄语黑客论坛发布,描述称这是一个具有高影响力的0Day漏洞,可通过恶意Office文档有效投递攻击载荷。Zeroplayer声称该利用链能让攻击者突破Office沙箱防护——这个关键安全功能本用于隔离潜在有害代码,最终实现对Windows系统的完全控制。攻击载体通常会将漏洞利用代码嵌入Word或Excel等常见文件类型,通过钓鱼邮件或系统入侵进行传播。
卖家通过私信方式提供漏洞演示和PoC技术细节,特别强调该漏洞与近期系统更新完全兼容,可有效规避杀毒软件检测。这并非Zeroplayer首次涉足漏洞交易市场——该攻击者曾在2025年7月以8万美元价格出售WinRAR 0Day RCE漏洞,其攻击目标明显集中在广泛使用的办公和压缩软件。
潜在危害评估
微软在2025年11月的补丁星期二修复了Office多个关键RCE漏洞,包括可通过恶意文档利用的释放后使用漏洞。但现有补丁仅针对已知问题,未涉及这个新曝光的0Day漏洞,加之其沙箱逃逸特性,使得威胁程度更为严峻。沙箱逃逸会瓦解Office防御宏攻击的主要屏障,使恶意软件能在网络内横向传播。
安全专家指出,俄语黑客论坛常成为国家级黑客或机会主义威胁行为者的聚集地,此类漏洞可能被武器化用于勒索软件、间谍活动或数据窃取。历史案例显示,俄罗斯黑客组织Storm-0978曾在2024年利用Office RCE漏洞针对西方目标部署后门程序。
企业防护建议
该0Day漏洞对依赖Microsoft 365的企业影响尤为严重,攻击者可能借此入侵供应链或实施定向渗透,规避端点检测响应。鉴于Office在全球超过14亿设备上的普及率,未打补丁的系统面临鱼叉式钓鱼攻击的高风险。企业应立即采取以下防护措施:
在Office策略中强制禁用宏功能,为所有文档启用“受保护的视图”模式,部署高级威胁防护工具。安全团队需密切监控异常网络活动,并紧急应用即将发布的安全补丁。若出现漏洞利用证据,微软可能会加速修复进程。
