Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
W 2025 roku krajobraz podatności w ekosystemie Microsoft zmienił się w sposób, który powinien zwrócić szczególną uwagę zespołów bezpieczeństwa. Choć łączna liczba ujawnionych luk była niższa niż rok wcześniej, wyraźnie wzrosła liczba błędów krytycznych, a wraz z nią potencjalny wpływ na środowiska firmowe. To ważny sygnał, że sama statystyka liczby CVE nie wystarcza już do oceny poziomu zagrożenia.
Coraz większe znaczenie mają dziś podatności umożliwiające eskalację uprawnień, ujawnienie informacji, nadużycie mechanizmów tożsamości oraz ruch boczny pomiędzy systemami. W praktyce oznacza to, że nawet pojedyncza luka może stać się elementem większego łańcucha ataku prowadzącego do przejęcia kontroli nad infrastrukturą.
W skrócie
Analizy dotyczące 2025 roku pokazują, że liczba wszystkich podatności Microsoft spadła z 1360 do 1273, ale jednocześnie liczba luk krytycznych wzrosła z 78 do 157. To podwojenie rok do roku i jeden z najważniejszych wskaźników zmiany profilu ryzyka.
- około 40% wszystkich podatności stanowiły błędy klasy Elevation of Privilege,
- liczba luk Information Disclosure wzrosła o 73%,
- w Azure i Dynamics 365 liczba krytycznych podatności wzrosła z 4 do 37,
- w Microsoft Office całkowita liczba podatności wzrosła z 47 do 157,
- liczba krytycznych luk w Office wzrosła z 3 do 31.
Z perspektywy obrońców oznacza to przesunięcie zagrożeń w stronę scenariuszy cichszych, trudniejszych do wykrycia i silniej związanych z nadużyciem legalnych mechanizmów systemowych.
Kontekst / historia
W ostatnich latach liczba ujawnianych podatności Microsoft pozostawała względnie stabilna, co mogło sugerować, że ogólne ryzyko jest pod kontrolą. Taki obraz bywa jednak mylący, ponieważ bezpieczeństwo środowiska nie zależy wyłącznie od wolumenu błędów, lecz od ich charakteru, położenia w architekturze i możliwości praktycznego wykorzystania.
Współczesne ataki coraz rzadziej opierają się wyłącznie na pojedynczym, spektakularnym exploicie. Znacznie częściej są budowane jako łańcuchy działań: od wstępnego dostępu, przez eskalację uprawnień, po przejęcie kont uprzywilejowanych, dostęp do zasobów chmurowych i poruszanie się boczne między systemami. W takim modelu szczególnej wartości nabierają błędy związane z tożsamością, tokenami, uprawnieniami i ujawnieniem danych środowiskowych.
To właśnie dlatego wzrost liczby luk krytycznych w warstwach takich jak Azure, Entra ID, Windows Server czy Office należy interpretować nie tylko jako problem techniczny, ale również jako ryzyko operacyjne i biznesowe.
Analiza techniczna
Najbardziej niepokojącym trendem jest koncentracja ryzyka wokół luk umożliwiających eskalację uprawnień. Takie błędy nie muszą od razu prowadzić do zdalnego wykonania kodu, ale stanowią kluczowy element skutecznego ataku po uzyskaniu pierwszego dostępu. Napastnik, który zaczyna od nisko uprzywilejowanego konta lub pojedynczej stacji roboczej, może dzięki luce EoP przejść na wyższy poziom uprawnień, a następnie wykorzystać legalne narzędzia administracyjne do utrzymania dostępu.
Drugą istotną kategorią są podatności Information Disclosure. Ujawnienie informacji o konfiguracji, architekturze, metadanych, tokenach lub relacjach zaufania może znacząco uprościć kolejne etapy operacji. Tego rodzaju błędy wspierają rozpoznanie, wybór ścieżki eskalacji oraz identyfikację najbardziej wartościowych zasobów.
Na szczególną uwagę zasługują usługi chmurowe i biznesowe, ponieważ tam promień rażenia pojedynczej podatności może być znacznie większy niż w klasycznym środowisku lokalnym. Krytyczna luka w platformie tożsamości, automatyzacji lub kontroli dostępu może wpłynąć na wiele usług jednocześnie i utrudnić skuteczną segmentację incydentu.
Dobrym przykładem jest wskazana w analizach luka CVE-2025-55241 w Entra ID, załatana w lipcu 2025 roku. Problem dotyczył możliwości fałszowania tokenów akceptowanych między tenantami, co pokazuje, jak poważne skutki mogą mieć błędy w warstwie tożsamości.
Niepokojąco wygląda również warstwa serwerowa. Liczba podatności dotyczących Windows Server wzrosła do 780, z czego 50 uznano za krytyczne. Serwery pozostają atrakcyjnym celem, ponieważ obsługują usługi współdzielone, działają z wysokimi uprawnieniami i często pełnią rolę centralnych punktów zaufania.
Silny wzrost dotyczy też pakietu Microsoft Office, który nadal pozostaje jednym z głównych wektorów dostępu początkowego. Dokumenty, komponenty renderujące, dodatki, funkcje współpracy oraz mechanizmy podglądu zawartości tworzą rozbudowaną powierzchnię ataku, łatwą do połączenia z phishingiem i socjotechniką. Szczególnie wymowne jest to, że w 2025 roku siedem CVE wykorzystywało panel podglądu Windows jako punkt wejścia.
Konsekwencje / ryzyko
Dla organizacji najważniejsza konsekwencja jest prosta: mniejsza liczba wszystkich CVE nie oznacza automatycznie niższego ryzyka. Jeśli większy udział mają luki związane z tożsamością, uprawnieniami, serwerami i usługami chmurowymi, to realne zagrożenie dla biznesu może rosnąć mimo pozornie stabilnych statystyk.
Najgroźniejsze scenariusze obejmują uzyskanie dostępu początkowego przez phishing, dokument lub błędną konfigurację, a następnie eskalację uprawnień, przejęcie tokenów albo kont uprzywilejowanych i ruch boczny z użyciem legalnych narzędzi administracyjnych. Taki model jest trudniejszy do wykrycia, ponieważ wiele działań napastnika przypomina zwykłą aktywność administratora lub użytkownika biznesowego.
- ryzyko przejęcia kont usługowych i uprzywilejowanych,
- naruszenie poufności danych i integralności procesów,
- zakłócenia operacyjne i przestoje,
- osłabienie granic zaufania między usługami i tenantami,
- szybkie rozprzestrzenianie się incydentu w środowiskach hybrydowych.
W praktyce oznacza to, że najbardziej niebezpieczne mogą być dziś nie te podatności, które są najgłośniejsze medialnie, ale te, które najlepiej wpisują się w nowoczesne scenariusze wieloetapowego ataku.
Rekomendacje
Klasyczny patch management nadal pozostaje fundamentem bezpieczeństwa, ale nie może być jedyną odpowiedzią na obecny profil zagrożeń. Organizacje powinny łączyć szybkie łatanie z kontrolą uprawnień, monitoringiem tożsamości oraz ograniczaniem promienia rażenia po ewentualnej kompromitacji.
- priorytetyzować poprawki dla podatności związanych z eskalacją uprawnień, ujawnieniem informacji i nadużyciem tożsamości,
- przeprowadzić przegląd stałych uprawnień administracyjnych i ograniczyć nadmierne prawa dostępu,
- wdrożyć zasadę najmniejszych uprawnień dla użytkowników, kont usługowych i automatyzacji,
- audytować role oraz relacje zaufania w Azure, Entra ID i systemach zintegrowanych,
- monitorować tokeny, sesje uprzywilejowane i anomalie w dostępie między tenantami,
- utwardzić serwery pełniące funkcje centralne dla infrastruktury,
- ograniczyć ryzyka w środowiskach Office, w tym związane z podglądem plików, dodatkami i aktywną zawartością,
- uwzględniać kontekst zagrożeń i techniki przeciwnika, a nie tylko scoring CVSS.
Z perspektywy architektury bezpieczeństwa warto rozwijać model Zero Trust, segmentację tożsamości, kontrolę sesji uprzywilejowanych oraz dostęp just-in-time. Im krótszy czas życia uprawnień i im mniejszy zakres trwałych upoważnień, tym trudniej o skuteczne utrzymanie dostępu przez napastnika.
Podsumowanie
Dane za 2025 rok pokazują, że w ekosystemie Microsoft nie chodzi już wyłącznie o liczbę wykrywanych błędów, ale o ich realny wpływ na bezpieczeństwo organizacji. Podwojenie liczby luk krytycznych, wzrost znaczenia podatności EoP i Information Disclosure oraz przesunięcie ryzyka w stronę chmury, tożsamości i Office wskazują na dojrzalszy i trudniejszy do wykrycia model działania napastników.
Dla zespołów bezpieczeństwa oznacza to konieczność zmiany priorytetów. Skuteczna obrona wymaga dziś nie tylko szybkiego wdrażania poprawek, lecz także pełniejszej widoczności tożsamości, lepszej kontroli uprawnień i ograniczania możliwości ruchu bocznego. Bez tego nawet stabilny krajobraz podatności może prowadzić do coraz poważniejszych incydentów.
Źródła
- https://www.bleepingcomputer.com/news/security/critical-microsoft-vulnerabilities-doubled-from-exposure-to-escalation/
- https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerabilities-report
- https://msrc.microsoft.com/update-guide/