Báo cáo Lỗ hổng Microsoft 2026 từ BeyondTrust cho thấy một bức tranh phức tạp về cảnh quan lỗ hổng CVE. Mặc dù tổng số lỗ hổng được công bố đã giảm 6% so với năm trước, nhưng số lượng các lỗ hổng nghiêm trọng lại tăng gấp đôi, đặt ra những thách thức đáng kể cho các đội ngũ an ninh.
Xu hướng Lỗ hổng Microsoft: Sự gia tăng các Mối đe dọa Nghiêm trọng
Báo cáo Lỗ hổng Microsoft 2026, ấn bản thứ 13 hàng năm của BeyondTrust, tiết lộ rằng tổng số lỗ hổng Microsoft được công bố đã giảm từ 1.360 vào năm 2024 xuống còn 1.273 vào năm 2025. Tuy nhiên, con số này che giấu một thực tế đáng lo ngại: các lỗ hổng nghiêm trọng đã tăng từ 78 lên 157, một mức tăng hơn gấp đôi.
Sự gia tăng này phản ánh một nghịch lý trung tâm: số lượng lỗi ít hơn nhưng khả năng gây ảnh hưởng toàn diện đến hệ thống lại cao hơn. Các chuyên gia nhấn mạnh rằng việc phân tích sâu dữ liệu báo cáo là cần thiết để hiểu rõ hơn về rủi ro.
Phân tích Dữ liệu CVE theo Danh mục và Sản phẩm
BeyondTrust đã tổng hợp và phân tích mọi bản tin bảo mật của Microsoft trong 13 năm, phân loại các lỗ hổng CVE theo sản phẩm, mức độ nghiêm trọng và danh mục (Elevation of Privilege, Remote Code Execution, Information Disclosure, Denial of Service, Spoofing, Tampering, và Security Feature Bypass).
Dữ liệu lịch sử cho thấy một xu hướng đáng khích lệ trong thập kỷ qua: tỷ lệ các lỗ hổng nghiêm trọng trong tổng số đã giảm từ 44% (2013) xuống còn 5,74% (2024). Tuy nhiên, báo cáo năm 2026 cho thấy sự đảo ngược xu hướng này, với tỷ lệ lỗ hổng nghiêm trọng tăng trở lại trên 12% vào năm 2025.
Đánh giá Mức độ Nghiêm trọng: Tầm quan trọng của Hệ thống Xếp hạng của Microsoft
Số liệu 157 lỗ hổng nghiêm trọng vào năm 2025 là một bước nhảy vọt 101% trong các loại lỗi có khả năng cho phép chiếm quyền kiểm soát từ xa, không cần xác thực hoặc có độ phức tạp thấp. Điều quan trọng cần lưu ý là con số này dựa trên Hệ thống Xếp hạng Mức độ Nghiêm trọng của Microsoft (Microsoft’s Security Update Severity Rating System), hệ thống này xem xét khả năng khai thác trong thế giới thực.
Theo Hệ thống chấm điểm CVSS v4 của National Vulnerability Database (NVD), chỉ có 42 lỗ hổng Microsoft đạt ngưỡng nghiêm trọng vào năm 2025. Báo cáo cảnh báo rằng các tổ chức chỉ dựa vào CVSS để ưu tiên vá lỗi có thể đánh giá thấp mức độ phơi nhiễm của họ.
Tác động của Lỗ hổng Nghiêm trọng lên Azure, Dynamics 365 và Office
Microsoft Azure và Dynamics 365 chứng kiến sự gia tăng gấp 9 lần các lỗ hổng nghiêm trọng, từ 4 (2024) lên 37 (2025). Azure hiện là lớp cơ sở hạ tầng cho các tích hợp Copilot, tác nhân AI và các khối lượng công việc định danh máy có quyền hạn cao.
Sự gia tăng gần gấp mười lần các lỗi nghiêm trọng trong lớp cơ sở hạ tầng này, kết hợp với sự gia tăng của các định danh phi nhân tự động, tạo ra một rủi ro phức tạp.
Một ví dụ điển hình là lỗ hổng CVE-2025-55241, một lỗ hổng nghiêm trọng về giả mạo mã thông báo Entra ID (CVSS 10.0). Lỗ hổng này cho phép kẻ tấn công mạo danh bất kỳ định danh nào, bao gồm cả Global Administrator, trên mọi tenant mà không cần tương tác người dùng và không tạo ra nhật ký nào trong tenant bị xâm phạm.
Lỗ hổng này đã được Microsoft vá vào tháng 7 năm 2025, nhưng nó minh họa cách một lỗi định danh đám mây duy nhất có thể làm sụp đổ ranh giới tin cậy ở tốc độ máy.
Số lượng lỗ hổng Microsoft Office đã tăng gấp hơn ba lần, từ 47 (2024) lên 157 (2025). Các lỗ hổng Office nghiêm trọng tăng từ 3 lên 31, một mức tăng khoảng 10 lần. Với việc Office vẫn là một trong những vectơ truy cập ban đầu phổ biến nhất, sự gia tăng này làm thay đổi đáng kể tính toán tấn công dựa trên lừa đảo và tài liệu đối với các chuyên gia phòng thủ.
Các ví dụ đáng chú ý bao gồm CVE-2025-62557 và CVE-2025-62554, một cặp lỗ hổng về tràn bộ đệm và nhầm lẫn kiểu dữ liệu, cho phép thực thi mã từ xa thông qua cửa sổ xem trước tệp mà không cần tương tác người dùng.
Microsoft Edge: Điểm sáng về An toàn Thông tin
Trong khi nhiều sản phẩm chứng kiến sự gia tăng rủi ro, Microsoft Edge lại cho thấy sự cải thiện đáng kể. Số lượng lỗ hổng giảm xuống còn 50 vào năm 2025, không có lỗ hổng nào trong số đó là nghiêm trọng. Mức giảm 83% so với năm trước phản ánh sự trưởng thành của công việc củng cố dựa trên Chromium.
Phân tích Danh mục Lỗ hổng và Tác động
Danh mục Elevation of Privilege (EoP) chiếm ưu thế trong bức tranh lỗ hổng hiện đại của Microsoft. Vào năm 2025, các lỗ hổng EoP chiếm 509 CVE, tương đương 40% tổng số lỗ hổng mà Microsoft công bố. Đây là danh mục lỗ hổng lớn nhất trong nhiều năm liên tiếp.
Các lỗ hổng EoP đặc biệt quan trọng vì cách các chuỗi tấn công hiện đại được xây dựng. Truy cập ban đầu thường không yêu cầu một lỗ hổng zero-day tinh vi; kẻ tấn công ngày càng dựa vào lừa đảo, đánh cắp thông tin đăng nhập, phát lại token hoặc cấu hình sai tài khoản dịch vụ để có được một điểm truy cập có đặc quyền thấp.
Từ đó, một lỗ hổng EoP có thể chuyển đổi điểm truy cập hạn chế đó thành quyền quản trị viên miền, root hoặc quyền kiểm soát toàn bộ tenant đám mây.
Các lỗ hổng Remote Code Execution (RCE), danh mục lớn thứ hai với 373 công bố vào năm 2025, thường đóng vai trò là nửa còn lại của chuỗi tấn công: thực thi mã, sau đó leo thang đặc quyền.
Information Disclosure là danh mục duy nhất di chuyển theo hướng tiêu cực, tăng 73% từ 101 lên 175 CVE. Loại lỗ hổng này thường là tiền đề cho phép kẻ tấn công lập bản đồ môi trường trước khi thực hiện các bước tiếp theo.
Windows và Windows Server: NguồnCVE Lớn nhất
Windows và Windows Server, hai nền tảng nơi các ranh giới định danh, xác thực và đặc quyền được thực thi, vẫn là nguồn cung cấp số lượng CVE thô lớn nhất. Năm 2025, Windows tự nó chiếm 612 lỗ hổng được công bố (36 nghiêm trọng), trong khi Windows Server ghi nhận 780 lỗ hổng (50 nghiêm trọng).
Hai nền tảng này đại diện cho lớp hệ điều hành nơi các biện pháp quản lý truy cập đặc quyền phải thực hiện công việc nặng nhọc nhất. (Lưu ý: một số CVE ảnh hưởng đến cả Windows và Windows Server và được tính trong mỗi sản phẩm, do đó không thể cộng trực tiếp hai con số này).
Vượt ra ngoài Số lượng CVE: Quản lý Danh tính và Rủi ro Đặc quyền
Các chuyên gia nhấn mạnh rằng số lượng CVE đơn thuần là một bức tranh không đầy đủ. Các cấu hình sai về định danh, tài khoản máy có đặc quyền quá cao và các tác nhân AI có quyền truy cập không bị hạn chế không được gán số CVE, nhưng chúng mang lại hậu quả tương tự như một lỗ hổng nghiêm trọng khi bị khai thác.
Báo cáo khuyến khích các nhà lãnh đạo an ninh tập trung vào Paths to Privilege™ (Các con đường dẫn đến Đặc quyền), thay vì chỉ đếm số bản vá. Các lỗ hổng là không thể tránh khỏi, nhưng phạm vi ảnh hưởng của chúng thì có thể kiểm soát được.
Nguyên tắc least privilege (đặc quyền tối thiểu) là yếu tố thiết kế nền tảng. Các tổ chức áp dụng nguyên tắc này sẽ không loại bỏ được CVE, nhưng sẽ giảm đáng kể những gì mà một cuộc khai thác đơn lẻ có thể đạt được.
Zero Trust và Tầm quan trọng của Quản lý Đặc quyền
Theo góc nhìn của David (DJ) Morimanno, Field CTO tại Xalient, phòng thủ hiện đại không dựa trên việc giả định tin cậy và phản ứng sau sự cố, mà là xác thực tin cậy liên tục và giới hạn đặc quyền cho mọi định danh, cả con người và phi con người.
Dữ liệu năm 2025 thúc đẩy các tổ chức hướng tới mô hình hoạt động này.
Giải pháp Bảo mật Toàn diện từ BeyondTrust
BeyondTrust tích hợp quản lý lỗ hổng và bảo mật định danh thành một kỷ luật kết nối. Nền tảng BeyondTrust Pathfinder cung cấp các khả năng bảo mật định danh tập trung vào đặc quyền bao gồm Quản lý Truy cập Đặc quyền (PAM), Phát hiện và Ứng phó Sự cố Định danh (ITDR), Quản lý Quyền hạn Cơ sở hạ tầng Đám mây (CIEM) và Quản lý Bí mật.
Nền tảng này được thiết kế để giải quyết các chuỗi tấn công được mô tả trong báo cáo, bao gồm:
- Privileged Access Management (PAM): Giảm thiểu bề mặt tấn công bằng cách giới hạn quyền truy cập.
- Identity Threat Detection and Response (ITDR): Phát hiện các hành vi bất thường và dấu hiệu xâm nhập.
- Cloud Infrastructure Entitlement Management (CIEM): Quản lý và giảm thiểu quyền hạn trong môi trường đám mây.
- Secrets Management: Bảo vệ và quản lý các thông tin nhạy cảm như khóa API, mật khẩu.
Các khả năng này thực hiện các khuyến nghị về đặc quyền tối thiểu và Zero Trust, những yếu tố được các chuyên gia trong báo cáo đánh giá là thiết yếu.
Báo cáo Lỗ hổng Microsoft 2026 khẳng định rằng quản lý bản vá đơn thuần không còn đủ để phòng thủ trước một cảnh quan lỗ hổng ngày càng tập trung vào cơ sở hạ tầng đám mây và ranh giới định danh.
Các tổ chức kết hợp việc vá lỗi kỷ luật với việc thực thi đặc quyền tối thiểu, quản trị định danh liên tục và kiểm soát truy cập Zero Trust sẽ có vị thế tốt nhất để chống chịu một năm mà số lượng lỗ hổng ít hơn nhưng lại mang đến nhiều rủi ro hơn.
Để xem toàn bộ bộ dữ liệu, bao gồm các xu hướng lịch sử 5 năm, phân tích theo danh mục CVE và bình luận của chuyên gia, hãy tải xuống Báo cáo Lỗ hổng Microsoft 2026. Nền tảng BeyondTrust Pathfinder có thể giúp tổ chức của bạn thu hẹp khoảng cách đặc quyền trước khi kẻ tấn công khai thác.
Tài liệu tham khảo:
BeyondTrust – 2026 Microsoft Vulnerabilities Report










