Descoberta e contexto
Um anúncio publicado em russo por um ator identificado como “Zeroplayer” afirma oferecer um exploit 0‑day capaz de executar código remoto em sistemas Windows via documentos Office e, especificamente, de escapar do sandbox de proteção do Office. O anúncio, relatado pela Cyber Security News, coloca o preço em US$30.000 e diz que o exploit funciona em “a maioria dos formatos de arquivo do Office, incluindo as versões mais recentes”, além de ser aplicável a instalações Windows já atualizadas.
O que o anúncio alega — e o que não está verificado
- Alvo e vetor: entrega por documentos Office (Word, Excel e formatos associados), potencialmente por phishing ou páginas maliciosas.
- Sandbox escape: o ponto citado como diferencial — se verdadeiro, permite que código malicioso ultrapasse uma camada importante de mitigação do Office.
- Compatibilidade: o vendedor afirma que o exploit funciona em sistemas “fully patched”; a Cyber Security News nota que a alegação não foi confirmada por Microsoft.
As fontes não fornecem prova pública de exploração confiável (PoC) ou indicadores técnicos que permitam validação independente. Portanto, a existência real do 0‑day continua uma alegação sem verificação pública até o momento.
Risco e impacto potencial
Se a cadeia de exploração e o escape de sandbox forem reais, o risco para ambientes corporativos é elevado. Documentos Office são um vetor tradicional de intrusão: com um exploit que neutralize o sandbox, uma mensagem de spear‑phishing capaz de convencer um usuário a abrir um anexo pode levar à execução de payloads com privilégio suficiente para persistência e movimentação lateral. A matéria observa que o Patch Tuesday de novembro de 2025 abordou várias RCEs em Office, incluindo CVE‑2025‑62199, mas não menciona este suposto 0‑day — o que motivaria especial atenção por parte das equipes de defesa e deteção.
Mitigações práticas imediatas
- Políticas de proteção de documentos: manter Protected View ativado para documentos provenientes da internet.
- Desabilitar macros e restringir execução de conteúdo ativo via políticas de grupo quando aplicável.
- Aplicar camadas de detecção: ATP/EDR com inspeção de comportamento de processos e detecção de técnicas de escape de sandbox.
- Elevar a vigilância: monitoramento de tráfego e logs para detecção de aberturas de documentos anômalas e compromissos de endpoint.
- Postura reativa: acompanhar comunicados oficiais da Microsoft e aplicar correções assim que publicadas.
Limites da informação
O anúncio é um relato de mercado clandestino: as fontes descrevem o conteúdo do anúncio e contexto histórico do vendedor (incluindo oferta passada de um zero‑day para WinRAR), mas não há evidência pública de exploração em natureza observada “in the wild”. As fontes também não confirmam se atores reais já teriam comprado e operacionalizado o exploit.
Recomendações de longo prazo
Organizações devem reforçar controles preventivos (hardening do Office) e ter planos de resposta rápidos para incidentes que comecem por documentos. A priorização de mitigação baseada em superfície de ataque — usuários com acesso a ativos sensíveis, cadeias de e‑mail de alto privilégio e serviços de colaboração que trocam documentos — é essencial.
O que acompanhar
Procure atualizações oficiais da Microsoft, alertas de CERTs ou relatórios técnicos que confirmem o CVE ou publiquem PoC; até lá, trate o caso como uma ameaça potencialmente séria baseada em uma alegação ainda não verificada.