文章总结: 近日微软修复了Microsoft365Apps的一个高危远程代码执行漏洞,攻击者可通过恶意Excel文档执行任意代码。该漏洞影响广泛,办公软件已成为APT组织和勒索软件的重点攻击入口。企业应建立漏洞管理机制,加强邮件和终端安全防护,落实最小权限原则,实施应用白名单和宏安全策略,强化网络隔离与零信任访问,并持续开展安全意识培训。只有建立全生命周期安全防护体系,才能有效降低办公终端被攻破的风险。 综合评分: 85 文章分类: 漏洞分析,安全意识,安全运营,解决方案
安全提醒:微软办公软件曝高危远程控制漏洞,企业办公安全该如何防护
原创
何威风 何威风
豫说网数安
2026年7月1日 16:52 河南
在小说阅读器读本章
去阅读
近日,微软修复了影响Microsoft 365 Apps(Office) 的一项远程代码执行(Remote Code Execution,RCE)高危漏洞。攻击者可构造恶意 Excel 文档,当受害者打开文件后,即可能触发内存损坏漏洞,在当前用户权限下执行任意代码,进而安装恶意程序、窃取数据、植入后门,甚至作为横向移动的跳板,最终危及整个企业网络。该漏洞影响 Microsoft 365 Apps、Office LTSC 以及多个Office 产品版本,目前微软已发布安全更新,建议用户尽快完成修复。该漏洞影响范围广泛,包括 Microsoft 365应用、Excel 2016、Office 2019、Office LTSC 2021、Office LTSC 2024 和 Office Online Server。
此次漏洞再次说明,办公软件已成为APT组织、勒索软件团伙和网络犯罪分子的重点攻击入口。相比直接攻击服务器,通过钓鱼邮件投递 Office 文档成功率更高,也更容易绕过传统边界防护。攻击者通常会利用社会工程学诱导用户打开伪装成财务报表、合同、报价单、通知公告等 Excel 文件,一旦漏洞被触发,即可在后台静默执行恶意代码,实现初始访问,并进一步下载木马、窃取浏览器凭据、控制终端设备,最终导致企业核心业务系统失陷。
这类Office漏洞已经成为现代网络攻击的重要组成部分。攻击者通常先通过邮件投递恶意文档获取初始权限,再结合凭据窃取、权限提升、横向移动以及勒索软件部署,形成完整攻击闭环。因此,企业不能将 Office 漏洞简单理解为“办公软件漏洞”,而应视其为企业入口安全(Initial Access)风险的重要组成部分。
对于国内企业而言,Microsoft Office依然是最广泛部署的办公平台之一,政府机关、能源、电力、金融、制造、医疗等行业均大量依赖Excel、Word、PowerPoint 等办公软件进行日常业务处理。一旦终端长期未更新补丁,或者员工缺乏安全意识,攻击者极易借助恶意Office文档突破企业第一道防线,继而威胁业务系统、数据资产乃至工业控制网络。特别是在等级保护、关键信息基础设施保护以及数据安全监管不断强化的背景下,此类漏洞如果导致数据泄露、业务中断或重要数据被窃取,不仅带来经济损失,还可能引发监管处罚和合规风险。
企业日常应如何做好防护
首先应建立漏洞管理和补丁更新机制。Microsoft每月发布安全更新,安全团队应建立资产台账,及时评估漏洞影响范围,按照风险等级优先完成 Microsoft 365、Office、Windows 等办公终端补丁部署,避免长期存在高危漏洞窗口。
其次,应加强电子邮件安全防护。部署邮件安全网关,对 Office 文档进行恶意代码检测、沙箱分析和附件过滤,对来源异常、带有宏代码或可疑行为的邮件进行自动拦截,从源头降低钓鱼邮件进入企业邮箱的概率。
其三,应强化终端安全防护能力。在办公终端部署 EDR/XDR、防病毒软件和主机防护系统,实时监测 Office 进程异常行为,例如 Excel 调用 PowerShell、cmd.exe、WMI、mshta、rundll32 等系统组件执行命令,以及异常网络连接、DLL 注入等可疑行为,实现快速发现和阻断攻击。
其四,应落实最小权限原则。普通办公用户不应拥有本地管理员权限,即使攻击者成功利用漏洞执行代码,也能够有效限制恶意程序进一步提升权限和横向扩散。
其五,应实施应用白名单和宏安全策略。关闭不必要的 Office ActiveX 控件和 VBA 宏,对必须使用宏的业务实行数字签名和可信发布机制,禁止未知来源文档自动执行宏代码,降低恶意文档攻击成功率。
其六,应加强网络隔离和零信任访问控制。办公网与生产网、研发网、工业控制网之间建立严格的访问控制策略,避免办公终端被攻陷后直接进入核心业务网络。同时结合身份认证、多因素认证(MFA)和持续身份验证机制,降低凭据泄露后的攻击风险。
最后,应持续开展安全意识培训和攻防演练。通过钓鱼邮件模拟演练、Office 恶意文档攻击演练、安全宣传等方式,提高员工识别异常邮件、未知附件和可疑链接的能力,使“人员防线”成为技术防护的重要补充。
Microsoft Office已不仅是办公软件,更是企业最重要的业务入口之一。近年来,大量APT攻击、勒索软件事件以及数据泄露案例都始于一封钓鱼邮件、一个恶意Office文档。此次Microsoft 365 Apps远程代码执行漏洞再次提醒企业,漏洞修补、终端防护、邮件安全、权限控制、安全运营和员工意识缺一不可。只有建立覆盖“漏洞发现、补丁修复、终端检测、邮件防护、持续监测、应急响应”的全生命周期安全防护体系,才能真正降低办公终端成为企业网络突破口的风险。
编者按:
以上安全防护措施,都可以在等级保护要求中找到对应项,算是各单位日常工作必须与技能,此处做进一步强调。对比如下,未完全按照标准整理,仅作参考。
| Office漏洞防护措施 | 等级保护控制域 | 核心要求 | | — | — | — | | 安装微软安全补丁 | 安全运维管理 | 漏洞监测、补丁更新、风险处置 | | 邮件网关、沙箱检测 | 通信网络安全、恶意代码防范 | 阻断恶意邮件和恶意附件传播 | | EDR、杀毒软件 | 主机安全 | 恶意代码检测、主机防护、行为监测 | | 最小权限原则 | 身份鉴别、访问控制 | 防止权限滥用和横向移动 | | 禁止Office宏、应用白名单 | 主机安全、应用安全 | 防止恶意程序执行 | | 日志集中分析、SOC | 安全审计 | 安全事件记录、分析、追溯 | | 网络分区隔离 | 安全区域边界 | 防止攻击横向扩散 | | 安全培训 | 安全管理制度、人员安全管理 | 提高员工防范社会工程学攻击能力 |
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:豫说网数安 何威风 何威风《安全提醒:微软办公软件曝高危远程控制漏洞,企业办公安全该如何防护》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论