Um ator de ameaça conhecido como Zeroplayer listou uma vulnerabilidade de execução remota de código (RCE) de dia zero, combinada com um escape de sandbox, visando sistemas Microsoft Office e Windows para venda em fóruns de hackers clandestinos.
Custando US$ 30 mil, o exploit supostamente funciona na maioria dos formatos de arquivo do Office, incluindo as versões mais recentes, e afeta instalações do Windows totalmente corrigidas.
Este desenvolvimento levanta alarmes na comunidade de segurança cibernética, pois pode permitir que os invasores contornem as robustas proteções de sandbox da Microsoft e executem código arbitrário com interação mínima do usuário.
O anúncio, postado em russo em um importante fórum de hackers, descreve a vulnerabilidade como um dia 0 de alto impacto, capaz de entregar cargas úteis por meio de documentos maliciosos do Office.
Zeroplayer afirma que a cadeia de exploração permite que invasores remotos escapem da sandbox do Office, um recurso de segurança crítico projetado para isolar códigos potencialmente prejudiciais – e atingir o comprometimento total do sistema no Windows.
Os métodos de entrega envolvem a incorporação da exploração em tipos de arquivos comuns, como documentos do Word ou Excel, que podem ser distribuídos por meio de e-mails de phishing ou sites comprometidos.
Suposta reclamação de dia 0 do Microsoft Office
Detalhes da listagem do fórum de hackers
O vendedor solicita mensagens privadas para demonstrações e detalhes de prova de conceito, enfatizando a compatibilidade com atualizações recentes para mitigar a detecção por ferramentas antivírus.
Esta não é a primeira incursão do Zeroplayer no mercado de exploits; o ator ofereceu anteriormente um RCE de dia zero WinRAR por US$ 80.000 em julho de 2025, destacando um padrão de direcionamento de software de produtividade e arquivamento amplamente utilizado.
Essas vendas ressaltam a lucrativa economia subterrânea dos dias zero, onde as explorações alcançam preços premium antes da divulgação pública ou da correção.
O Patch Tuesday de novembro de 2025 da Microsoft abordou várias falhas críticas de RCE no Office, incluindo CVE-2025-62199, uma vulnerabilidade de uso após livre que pode ser explorada por meio de documentos maliciosos.
No entanto, esse patch se concentrou em problemas conhecidos e não fez referência a esse suposto dia 0, sugerindo que ele permanece sem correção e potencialmente mais perigoso devido ao seu componente de escape da sandbox.
As fugas de sandbox são particularmente preocupantes, pois neutralizam uma das principais defesas do Office contra ataques baseados em macro, permitindo que o malware se espalhe lateralmente pelas redes.
Os especialistas observam que fóruns em russo, como o que hospeda esta listagem, geralmente servem como centros para agentes de ameaças afiliados ao Estado ou oportunistas, que podem transformar essas explorações em armas para ransomware, espionagem ou roubo de dados.
Incidentes anteriores semelhantes, como a exploração de CVE-2023-36884 em 2023 pelo grupo russo Storm-0978, envolveram o Office RCE para implantação de backdoor contra alvos ocidentais.
As possíveis consequências deste dia zero são significativas, especialmente para empresas que dependem do Microsoft 365. Os invasores podem aproveitá-lo para comprometer cadeias de fornecimento ou realizar invasões direcionadas, evitando respostas de detecção de endpoints.
Dada a onipresença do Office em mais de 1,4 bilhão de dispositivos em todo o mundo, os sistemas sem correção enfrentam um risco aumentado de infecção por meio de spear-phishing.
As organizações devem priorizar a desativação de macros nas políticas do Office, habilitar o Protected View para todos os documentos e implantar ferramentas avançadas de proteção contra ameaças.
É aconselhável monitorar atividades anômalas no fórum e aplicar patches futuros com urgência, pois a Microsoft pode acelerar as correções se surgirem evidências de exploração.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
