BeyondTrust 的報告顯示，微軟漏洞數量有所下降，但嚴重缺陷數量卻翻了一番，凸顯了微軟 Office、Azure 和雲端系統風險的上升。BeyondTrust 是一家以特權為中心的身份安全領導者，該公司剛剛發布了第 13 份年度微軟漏洞報告。報告顯示，雖然駭客發現的漏洞總數減少，但他們發現的漏洞威力卻強大得多。

今年微軟軟體的安全漏洞總數下降了6%，至1,273個，表面上看起來情況有所改善。然而，這掩蓋了一個危險的趨勢——最危險或最嚴重的漏洞數量翻了一番。

BeyondTrust 的現場首席技術官 James Maude 表示：“不要被漏洞總數的下降所迷惑，關鍵漏洞數量翻了一番。這表明風險並未降低，而是集中爆發，並且集中在特權相關領域。”

Office 和 Azure 中的主要風險

最令人擔憂的漏洞激增出現在日常業務營運工具中。微軟 Office 的漏洞數量增加了兩倍，達到 157 個，而該套件中的嚴重漏洞數量更是增加了十倍。許多此類漏洞都利用了預覽窗格，該功能可以自動渲染內容。

根據BeyondTrust 旗下 Phantom Labs 團隊的研究，攻擊者正利用這種攻擊途徑，在用戶選中附件的瞬間執行惡意程式碼，無需任何進一步互動。到 2025 年，Windows Server 的漏洞數量將增加至 780 個，其中 50 個被評為嚴重漏洞。

微軟的雲端平台 Azure 和 Dynamics 365 雖然漏洞總數較少，但其嚴重漏洞的數量卻增加了九倍。一個典型的例子是CVE-2025-55241，這是 Azure Entra ID 中一個嚴重的冒充漏洞。它造成了一種噩夢般的場景：攻擊者可以冒充全域管理員，成功繞過保護企業雲端基礎設施的信任邊界。

隱藏的風險：機器中的幽靈

人類使用者不再只是攻擊目標；該報告強調了非人類身分（NHI）面臨的日益增長的威脅，這些非人類身分指的是為現代工作流程提供支援的自動化服務帳戶和人工智慧代理。BeyondTrust 將這些稱為“機器中的幽靈”，因為這些身份通常擁有高級權限，並且沒有像多因素身份驗證這樣的傳統安全措施，因此成為間諜活動的主要目標。

去年約有 40% 的漏洞涉及權限提升 (EoP)，這是一種屢見不鮮的攻擊方法，攻擊者可以從標準帳戶橫向移動到高權限狀態，並停用安全控制。

2026 年策略要點

數據中也傳來了一些好消息，據報道，微軟Edge瀏覽器的漏洞數量已降至歷史新低，僅50個（下降了83%）。這意味著微軟在沙盒和隔離架構上的投入正在發揮成效。此外，在對舊的安全防護措施進行強化以抵禦新型攻擊手段後，安全功能繞過漏洞的數量也下降了36%。

但是，現在保持更新的壓力比以往任何時候都高，因為僅今年的第一個「補丁星期二」就帶來了 114 個修復程序，其中包括三個已經在實際環境中被利用的零日漏洞。

因此，Beyond Trust 的報告應該被視為一個警告；除了修復漏洞之外，公司現在還必須確保給予用戶和自動化機器人最小權限，因為即使駭客設法滲透到權限較低的設備中，造成的損害仍然有限。

舊金山眾包網路安全公司 Bugcrowd 的首席策略與信任官Trey Ford對此評論道：“雲端配置錯誤對攻擊者和防御者來說都非常有價值，因為它們使我們能夠‘無意中’導致負面結果，而且這種負面結果會立即在全球範圍內產生。目前有很多技術致力於檢測開發和測試流程以及生產監控中的配置錯誤。”

“問題不在於‘我們能否找到這些配置錯誤’，而在於‘我們能否儘早、快速地發現並解決這些問題’ 。對抗性測試是唯一客觀的方法，可以檢驗我們的人員、流程和技術是否能夠帶來可靠的結果。”

總部位於紐約的非人類身分管理 (NIM) 解決方案供應商 Oasis Security 的共同創辦人兼首席產品長Amit Zimerman也對此發表了評論，他表示：「雖然人工智慧在自動化和擴展任務方面效率極高，但人類的專業知識對於解讀複雜的結果、做出關鍵決策以及應用特定情境的推理至關重要。

「人工智慧在『左移』方法中也發揮著重要作用，它能夠在軟體開發生命週期的早期階段識別安全漏洞。當整合到進攻性安全措施中時，人工智慧可以在問題進入生產環境之前檢測並解決問題，從而降低修復成本並提高組織的整體安全態勢，」Amir解釋道。

資料來源：https://hackread.com/microsoft-vulnerabilities-drop-critical-flaws-double/