网络安全公司BeyondTrust最新发布的《2026微软漏洞报告》揭示了2025年软件安全领域的真实状况。报告数据显示，微软在2025年共公开披露了1273个安全漏洞，较2024年的1360个总数下降了约6.4%。单从此数字看，似乎安全形势有所改善？然而，深入细节会发现更复杂的真相。

总量减少的背后，是高风险漏洞数量的急剧攀升。报告指出，2025年高危漏洞数达到157个，相较2024年的78个，增幅超过101%。这传递出一个明确信号：对企业安全团队而言，仅关注漏洞总数已不足够，评估漏洞的“影响强度”与威胁等级正变得前所未有的关键。

那么，攻击者的策略到底如何演变？报告从漏洞类型中发现了关键线索。权限提升类漏洞占据了全部CVE的40%，而信息泄露类漏洞也同比增长了73%。这一变化意味深长，表明攻击者的焦点正在从过去大张旗鼓的入侵，转向更为隐蔽的战术——先侦察，再提权，最后在系统内部进行横向移动。这种“低速渗透”方式，往往更难以被传统防御手段察觉。

这种趋势在云平台和业务系统中表现得尤为明显。以Azure和Dynamics 365为例，尽管漏洞总数略有下降，但高危漏洞数量从4个激增至37个。这背后折射出一个根本性转变：如今的云平台早已超越简单的基础设施角色，深度整合了身份管理、业务流程自动化和企业控制平面等核心功能。因此，一个云平台上的高危漏洞，其破坏力可能远超数据泄露本身，足以导致整条业务链条的瘫痪。

报告中提及的一个案例充分说明了这种风险的严重性。2025年7月修复的Entra ID高危漏洞（CVE-2025-55241），据称允许攻击者伪造能被任意租户接受的身份令牌，且不会在受害者审计日志中留下任何痕迹。这种级别的漏洞，对于依赖云身份服务的企业而言，无疑是噩梦般的场景。

视线转回终端和服务器侧，情况同样不容乐观。Windows操作系统的漏洞总数有所下降，但高危漏洞的数量依然维持在高位。具体来看，Windows Server的漏洞总数增至780个，其中50个被标记为高危；Windows客户端系统的漏洞为612个，内含36个高危漏洞。

在所有产品中，Office套件的安全变化最为突出，堪称本次报告的“焦点”。其漏洞总数从47个跃升至157个，同比大增234%；而高危漏洞更是从仅有的3个，急剧跳升到31个。这一数据提醒我们，那些日常办公中频繁使用的、看似普通的应用程序，正在成为攻击者新的重点目标。