“关键漏洞的数量直接翻了一倍还多。” BeyondTrust 刚发布的第13份《微软漏洞报告》用这句话定下了今年的基调。只看总数,2025年微软披露的漏洞确实少了——从 1360 个降到 1273 个,同比下降 6%,几年来的波动幅度都不大,似乎安全工程正在稳步收效。可一旦把漏洞按严重程度切开,藏在 headline 下面的数字让 CISO、身份架构师们坐不住了:能导致系统完全失陷的关键级漏洞,一年之内从 78 个猛增至 157 个,增幅 101%。

这个反转并非孤立数据点。BeyondTrust 连续十三年追踪微软每个补丁日的公告,把 CVE 按产品、严重度和漏洞类型归类,让这张长周期图谱变得像一份临床指标。过去十年里,关键漏洞占总漏洞的比例一路从 2013 年的 44% 压缩到 2024 年的 5.74%,微软在安全设计、补丁节奏和 exploit 缓解上的投入确实在持续推开攻击面。然而 2025 年的数据打断了这条下滑曲线——关键漏洞占比一举跳回 12% 以上。微软 MVP、Adminize 高级技术研究员 Sami Laiho 等参与报告分析的专家直言,这不是统计波动,而是一次真正的风险集中转向。

打开网易新闻 查看精彩图片

为什么总数在降,“危重病号”反而暴增?报告给出的答案直指两种漏洞类型的膨胀:权限提升(Elevation of Privilege)和远程代码执行(Remote Code Execution)。权限提升让攻击者在内网里获得管理员身份,横向移动、窃取凭证、绕过防火墙往往只差这一步;远程代码执行更是老牌但依然致命的入口,能让攻击者在未完成认证的情况下就接管服务。两者一旦组合,就构成了从外网破门到内网提权的完整攻击链。2025 年的数据表明,这类能够直达系统最高权限的漏洞正变得比往年更常见,而且不再局限于 Windows Server 或企业级产品,也渗透进协作工具、云连接器等高频使用场景。

面对这样一个“漏洞少但更致命”的新格局,单纯的补丁时间竞赛已经不够。报告承接 BeyondTrust 自身产品逻辑,强调身份安全层需要更贴近运行时控制——对管理员权限的即时发放、用完即回收,对横移行为的持续监测,让哪怕漏洞未被修复,攻击者也无法轻易将一次代码执行转化为全域控制。对于运维和安全团队来说,今年的报告相当于一次风险评估方向上的提醒:把有限的资源优先投向那些能给攻击者丝滑提权的缺口,而不是疲于修补每个中低危漏洞。

整份报告还包含五年历史趋势、微软产品线 CVE 分布以及多位微软 MVP 的深度点评,从 Azure 到 Office、从 Hyper-V 到身份桥接组件,攻击面的转移细节远比头版数字丰富。对于需要说服管理层追加安全预算的团队,这 157 个关键漏洞或许比任何趋势图都更有说服力。