摘要：根据最新发布的BeyondTrust Microsoft Vulnerabilities Report显示，微软在2024年报告了创纪录的1360个漏洞。这一数量比2022年的前一个纪录增长了11%，并符合疫情大流行后的一个更广泛趋势：更多漏洞、更多产品以及更

根据最新发布的BeyondTrust Microsoft Vulnerabilities Report显示，微软在2024年报告了创纪录的1360个漏洞。这一数量比2022年的前一个纪录增长了11%，并符合疫情大流行后的一个更广泛趋势：更多漏洞、更多产品以及更复杂的生态系统。

但对于CISO而言，一个更有说明力的指标不仅仅是发现了多少漏洞——而是这些漏洞有多危险。在这方面，数据带来了一些好消息。2024年，严重漏洞的数量下降至78个，低于前一年的84个，也不到2020年记录的196个的一半。这是自报告开始以来，严重漏洞数量最低的一次。

关键风险

严重缺陷——即无需用户输入即可执行代码的漏洞——是在实际环境中最有可能被利用的漏洞之一。它们持续减少，表明微软的开发流程和架构有所改善。

不过，并非所有类别都呈现相同的趋势。权限提升(EoP)漏洞占总漏洞的40%，远程代码执行(RCE)紧随其后。这两者仍然是攻击者的首要目标。

“今年的数据清楚地提醒我们，威胁态势并没有放缓——而是在迅速演变。”BeyondTrust的现场CTO詹姆斯·莫德表示。

“权限提升漏洞的持续主导地位凸显出，特权对攻击者而言价值巨大，也是他们为何会继续瞄准具有特权的身份，以便进行横向移动并访问关键系统。这些趋势再次强调了企业不仅需要关注补丁，还需要确保在其环境中保护底层的特权路径，以减少每个身份和访问点的攻击面。”莫德继续说道。

这些漏洞是攻击者所依赖的关键机制，因为企业正在加强对其环境中最小权限的控制。如果能够减少威胁行为者对特权的访问，就能在被利用时减小“影响范围”。

正如网络风险机遇公司(Cyber Risk Opportunities)的CISO基普·波义耳所说：“权限提升是勒索软件操作员的金钥匙。一旦攻击者获得管理权限，他们就可以执行其行动方案中最具破坏性的部分。”

Microsoft Edge浏览器原本一直在稳步改进，却打破了这一趋势。其漏洞数量跃升至292个，其中9个为严重漏洞，而上一年仅为1个。其中许多漏洞允许代码逃离浏览器沙箱，基本上将浏览器变成了进行横向移动的门户。美国网络安全和基础设施安全局(CISA)在2024年10月针对多个Edge漏洞发布了罕见的警告。

Microsoft Office过去一直是企业的主要安全痛点。恶意网络钓鱼文档会利用常见漏洞，或者仅仅通过社会工程学手段诱骗用户打开文档并允许宏运行，以便滥用内置功能进行不法活动。

Microsoft Office漏洞激增

Office的漏洞总数也激增了24%，扭转了上一年的下降趋势。与此同时，Azure和Dynamics 365的漏洞总数也增加了14%。一个突出问题：Microsoft Copilot Studio中的一个服务器端请求伪造(SSRF)漏洞，让攻击者能够检索访问令牌并连接到内部云资源。

补丁仍然至关重要，但还不够。包括CVE-2024-49138(一个被利用以获得系统级访问权限的通用日志文件系统(CLFS)驱动程序漏洞)在内的多个零日漏洞凸显了分层防御的必要性。

2025年，对微软而言，建立用户对补丁和更新质量和稳定性的信心至关重要。这是为了加快企业安心部署补丁的速度。

“如果说2025年有一条重要的经验，”CQURE的首席执行官保拉·雅努什基维奇表示，“那就是主动威胁搜寻和最小权限应该成为首要任务。”

微软在2023年末推出的“安全未来倡议”(SFI)声称将安全置于开发的首位。SFI的一些里程碑事件包括淘汰未使用的应用程序和扩大防钓鱼凭据的范围。不过，专家警告不要对早期结果解读过多。

尽管漏洞总数有所增加，但长期趋势显示增长速度似乎正在趋于稳定。这与严重漏洞数量持续减少的趋势相结合，表明微软的安全举措以及现代操作系统安全架构的改进正在取得成效。

“漏洞就像是面包屑，”谷歌云的顾问安东·丘瓦金表示，“它们指向流程失败，而不仅仅是糟糕的代码。”

虽然本报告回顾的是2024年的情况，但值得注意的是，2025年的第一个“补丁星期二”是自2017年以来规模最大的一次，覆盖了159个漏洞，其中包括8个零日漏洞。

我们需要做好准备，不仅要尽可能快地打补丁，还要确保通过其他缓解措施(如最小权限、零信任和系统的即时访问)来尽可能确保最佳安全态势，以最小化这些零日漏洞被利用时的影响范围。

来源：HOLO好乐