2025微软漏洞报告：数量再创纪录，应对更复杂

Morey J. Haber 虎符智库 2025-05-16 10:08

本文
4165
字
   阅读约需
12
分钟

《微软漏洞报告》（简称《报告》）一直是评估软件生态系统安全性的重要晴雨表。近年来，《报告》显示“身份”已成为攻击链的核心部分，现代的入侵行动常常要结合传统漏洞和基于凭证的攻击路径。

企业、政府机构和关键基础设施日常运营都会遇到微软的系统：从驱动终端与服务器的Windows操作系统，到迅猛增长的Azure云服务，微软的产品无处不在，使其成为网络攻击者寻求大规模漏洞利用的诱人目标。

不论是国家背景的攻击者还是以牟利为目的的网络犯罪团伙，通常都会选择难度最小的路径，存在漏洞的资产则是可靠的攻击入口。

全球Windows用户超过了14亿，Microsoft 365、Active Directory和Azure等平台的广泛采用意味着，微软产品中任一可被利用的漏洞，就可能导致权限提升、横向移动或勒索软件攻击，影响成千上万个互联系统。

《报告》将微软CVE（通用漏洞与披露）数据转化为可操作情报，帮助安全领导者理解漏洞的演变、产品相关风险的变化、微软防御能力的增强，以及仍然存在严重漏洞，以及未来漏洞风险的走向。《报告》既是历史教训，也是前瞻性预测。

2025年《报告》调查结果和分析强调，需要深思熟虑并确保及时部署安全补丁，但前提是经过内部测试。

一、2024年微软披露漏洞创新纪录，增长11%

2025年《报告》指出，2024年共披露了创纪录的1,360个微软漏洞，比2022年的前高点（1,292个）增长了11%。

这提醒我们：无论制定了多少最佳实践、开发人员受过多专业培训，或者通过质量保证和渗透测试进行过多么全面的测试代码，人类和AI依然会写出可被利用的软件漏洞。无论使用什么样的代码审查其实都不重要——即便是AI生成的代码，本质上我们仍然是人，仍然会犯错。

2024年微软总漏洞数量达到1360个，创历史新高。

但在众多漏洞中也有一丝曙光：微软发布的“严重”漏洞（即令首席信息安全官彻夜难眠的那些）下降到十多年来的最低水平。2024年，仅78个漏洞被评为严重漏洞， 2020年为196个。相比之下， 2013年发布的严重漏洞占微软公开披露漏洞的44%，而2024年的这一比例降至不到6%。

在解决严重漏洞和减少高风险代码方面，微软确实取得了进展。微软改进了工具，并培训了开发人员。当然，如今出现的严重漏洞往往具有新颖性，且更难利用。

严重漏洞在整个微软生态系统中的比例持续下降

虽然“总数上升”与“严重程度下降”似乎是矛盾的说法，但事实更为复杂。微软及其生态系统在一些关键领域确实取得了进步。这是一个胜利，但不是全面的胜利。攻击面仍在扩大，漏洞数量仍在增长，而攻击者也在快速适应，采用新的方式（包括基于身份的攻击路径）来利用这些漏洞。

二、EoP和RCE仍是主要安全威胁

任何攻击者想要利用系统，目标无非两点：
1. 执行代码，无论通过恶意软件还是“利用系统自带功能”的攻击（LOTL）；

1. 拥有足够高的权限，以执行这些代码，从而实现攻击目的。

远程代码执行（RCE）和权限提升（EoP）漏洞正好提供了完美的组合，实现了这两个目标，攻击者对此非常清楚。

2024年，EoP漏洞连续第五年领跑所有漏洞类别，占微软所有漏洞披露的40%。这说明攻击者往往更容易“登录”系统而不是“入侵”系统，特别是当攻击者能利用合法账户进行权限升级时。一旦入侵成功，权限就是力量。拥有权限就如同拿到钥匙，可以随意行动。

EoP漏洞占2024年微软漏洞的40%，使攻击者从普通用户权限提升为管理员权限

RCE漏洞允许攻击者在未认证的情况下远程执行恶意代码，常见攻击媒介包括未打补丁的软件、Web服务或恶意文档。2024年，RCE占微软漏洞总数的32%，虽较2013年的58%显著下降，但考虑到微软产品的覆盖面，这仍是巨大的攻击面。

单独来看，每类漏洞都很危险。当RCE和EoP结合时，威胁就更加严重：RCE 传递有效载荷，EoP 授予权限，则可能导致严重的安全事件。因此，即使整体上严重漏洞数量有所减少，RCE 和 EoP 仍然占据主导地位，这足以引起高度重视，提醒我们及时修复所有漏洞。

三、意想不到的风险：过时协议卷土重来

另一个令人不安的趋势是安全功能绕过漏洞的激增（允许攻击者规避或绕过系统原有安全机制的漏洞类型）：自2020年以来已增长三倍，从2020年的30个增至2024年的90个。

这些并非理论上的担忧，攻击者正积极利用易被突破的老旧安全机制。例如，俄罗斯网络犯罪组织RomCom利用CVE-2023-36884绕过微软的“Web标记”防护。2024年又有类似漏洞（如CVE-2024-38226和CVE-2024-38217）被用于攻击老旧防御手段。

这只不过是软件上的软件叠加而已。安全工具仍然是软件，可以像其他任何东西一样被利用。这就是为什么现在60%的绕过漏洞都针对这些保护层本身。

微软在这方面需要迎头赶上。诸如用户帐户控制和 Web 标记 (Windows XP 时代的遗留功能) 等老旧功能，在如今的网络钓鱼工具包和社会工程攻击面前已不堪一击。微软在安全现代化方面取得了长足进步，但对过时协议和老旧控件的持续利用表明，微软迫切需要淘汰过时的系统，淘汰构建这些系统所基于的陈旧安全假设。不幸的是，这进一步表明，这些老旧系统并非设计就安全，而是事后才进行的补救。

四、漏洞对微软产品的影响

尽管IE浏览器已于2022年正式退役，它的幽灵仍徘徊在企业环境中。2024年，攻击者仍在利用IE组件MSHTML伪装恶意文件，凸显了过时技术在生产环境中依然存在的危险。而微软当前的Edge浏览器也未能幸免，2024年报告了9个严重漏洞，打破其此前“零严重漏洞”的纪录。这些漏洞允许攻击者突破浏览器沙盒限制并以本地权限执行代码，引发多次CISA的多项安全警告。如果与糟糕的权限管理（例如允许用户以本地管理员身份运行）相结合，这些漏洞会显著增加组织的风险敞口。

2024年Edge浏览器发现292个漏洞，严重漏洞9个，2022年为零

Windows仍是微软的主力产品，也是其软肋。2024 年Windows 报告了 587 个漏洞，其中 33 个被评为严重漏洞。虽然有些漏洞源于仍在使用的过时技术（例如 IE），但也有一些漏洞是全新的，例如CLFS 驱动程序中的零日漏洞CVE-2024-49138，可获得系统级访问权限。讽刺的是：尽管 Windows 11 被誉为微软迄今为止最安全的操作系统，但根植于 20 年前遗留代码的漏洞仍在不断涌现，破坏了其现代安全的承诺。

2024年Windows系统报告587个漏洞，其中33个为严重漏洞。

不幸的是，云环境的形势也不容乐观。自2020年以来，Azure漏洞数量几乎翻倍。人工智能成为新的风险前沿：2024年，CVE-2024-38206与CVE-2024-38109暴露了微软Copilot Studio和Azure Health Bot中存在的漏洞，涉及信息泄露和权限提升。

人工智能正在成为每个人都应该关注的攻击媒介。我们正在将人工智能工具嵌入到系统中，但通常并不清楚哪些数据被捕获、这些数据将流向何处、存储多长时间以及是否受到强加密保护。我们对人工智能在企业环境中的风险的认识才刚刚起步。

随着各大机构争相采用人工智能平台，AI正成为一个新的攻击面。这些攻击面难以量化、难以测试，并且可能被滥用。创新的速度已经超越了我们保障安全的能力。可见性对于未来降低这些风险至关重要。

五、漏洞补丁的困境

如果说“人”是网络安全的最大弱点，“未打补丁的漏洞”则紧随其后。及时修补对于领先于攻击者至关重要。漏洞一旦被披露并发布补丁，攻击者往往会竞相对修复应用进行逆向工程，力图在组织应用更新之前利用系统漏洞。

然而，出于对稳定性和潜在中断的担忧，企业往往不愿立即部署补丁。没有什么比常规安全补丁导致资源离线甚至更糟的情况更能毁掉一个周末了。对微软补丁不稳定性问题的担忧并非毫无根据。2024 年，微软发布了多个补丁，但问题比修复的还多；此外，微软的更新还引发系统回滚、关键功能失效甚至禁用自动更新机制。

业界将补丁服务级别协议（SLA）压缩至24～48小时，但这也减少了充分验证的时间。结果一些补丁导致生产环境崩溃，从而导致对补丁的信任被削弱，组织陷入“要安全还是要稳定”的两难境地。

预览版本功能（包括自动更新系统本身）的崩溃，给企业带来了不同程度的问题和镜像构建问题。正如近期事件以及2024年臭名昭著的CrowdStrike更新事件所表明的那样，在没有经过适当测试和验证的情况下，加速发布更新可能会带来灾难性的后果。

微软的补丁声誉此前曾出现过动摇。2025年，微软应该更加注重补丁的质量和稳定性，以重建信任，并鼓励更快地采用整个漏洞和补丁管理生命周期。因为在网络安全领域，快速发布补丁并不等同于正确发布补丁。

六、降低微软漏洞风险的实用建议

在当今混合且快速演变的威胁形势下，要缓解 Microsoft 漏洞，需要建立战略性的多层防御机制。

以下是企业现在可以采取的最有效措施，可以降低风险并增强网络弹性：

1、 实施最小权限与零信任架构

移除本地管理员权限并持续执行最小权限原则，可减轻多达75%的严重漏洞影响。这是降低横向移动和权限提升风险的最有效方法之一。现代 Windows 在设计上支持最小权限，但仍然处于顶层的第三方应用通常并不支持。因此，需要结合特权访问管理 (PAM) 工具必须介入以填补这一空白，发现、控制与最小化特权账户，这对第三方应用至关重要。

2、制定针对性漏洞管理策略

摒弃一刀切的补丁思维。应根据企业环境背景、威胁模型及业务影响对漏洞实行优先级排序。当需要专注于当前可能被利用的漏洞时，一刀切地修补所有漏洞效率不高。

3、保护远程访问路径

暴露的 RDP、过时的 VPN 以及未受管理的供应商访问是勒索软件的主要入口点。使用增强身份验证和会话控制，对所有远程访问进行分段、监控和保护，尤其要防范特权用户以及来自承包商或第三方等不可信来源的访问。

4、 集成身份威胁检测与响应（ITDR）

可视性是关键。您无法修复未发现的问题，对于第三方和 SaaS 系统的漏洞，洞察极少甚至完全不存在。ITDR工具可识别身份相关风险，快速响应特权滥用与横向移动。ITDR工具能够快速响应身份滥用、特权滥用和横向移动。这些都是现实世界中 Microsoft 漏洞利用链中常见的策略。

七、结语

2025年微软漏洞报告数据也带来一些积极信号：严重漏洞数量下降、披露实践更加完善，并且在曾经构成持续风险的领域取得了进展。但有一点未变：安全责任归根结底在企业自身。

微软可以开发更安全的软件，但如何部署、维护和保护则取决于各组织自身。以“最小权限+零信任+身份安全”为核心的策略，在补丁发布之前也能显著降低风险。此外，通过漏洞优先级排序、远程访问加固和强特权访问控制，将不仅是被动响应，更能实现主动防御。

针对2025年安全漏洞的首要建议： 增强对环境的可视性，尤其是针对老旧与已服系统；隔离所有无法修补的系统。记住Windows 10将在2025年10月终止支持，除非你付费购买延长支持。这将是下一个风险高峰，而且来得很快。

业界可能没有解决微软漏洞的银弹，但有些接近的方案：可以靠现实中起作用的分层防御，依靠补丁和特权账号管理，逐一安全风险化解。

关 于 作 者

Morey J. Haber  BeyondTrust首席安全顾问

END