Ditulis oleh: Morey J. Haber, Chief Security Advisor, BeyondTrust, dan James Maude, Field Chief Technology Officer, BeyondTrust
Seperti yang dianalisis di Laporan Kerentanan Microsoft 2026Microsoft mengungkapkan 1.273 kerentanan pada tahun 2025, yang menunjukkan penurunan dari 1.360 pada tahun sebelumnya. Kabar baiknya adalah total kerentanan Microsoft tetap berada pada kisaran stabil dari tahun 2020 – 2026.
Namun angka-angka itu adalah angka yang salah untuk diperhatikan. Kerentanan kritis meningkat dua kali lipat dari tahun ke tahun, melonjak dari 78 menjadi 157, membalikkan tren penurunan selama beberapa tahun.
Stabilitas dalam total volume kerentanan menyembunyikan ketidakstabilan dalam dampaknya, dan di sinilah organisasi harus memusatkan perhatiannya.
Petunjuk terpenting dalam data ini bukanlah berapa banyak kerentanan yang terungkap, namun di mana kerentanan tersebut terkonsentrasi dan apa saja kerentanan yang memungkinkan pelaku ancaman untuk berkompromi.
Dimana Resiko Berkonsentrasi
Dominasi kerentanan Elevation of Privilege (mencakup 40% dari seluruh CVE) dikombinasikan dengan peningkatan kelemahan Pengungkapan Informasi sebesar 73%, menunjukkan bahwa para penyerang memprioritaskan stealth dan pengintaian dibandingkan eksploitasi yang bersifat diam-diam.
Hak istimewa adalah tempat kerentanan menjadi pelanggaran. Pelaku ancaman tidak lagi memerlukan eksploitasi besar-besaran atau kampanye malware massal jika mereka dapat secara diam-diam meningkatkan akses dan bergerak ke samping menggunakan kredensial yang sah dan taktik Living Off the Land.
Tren ini sejalan dengan pola pelanggaran di dunia nyata, di mana akses awal sering kali biasa saja, namun dampaknya diperkuat melalui hak istimewa yang berlebihan, kesalahan konfigurasi, dan kontrol identitas yang lemah.
Hal ini paling memprihatinkan selain di cloud dan platform bisnis. Microsoft Azure dan Dynamics 365 mengalami sedikit penurunan dalam jumlah total kerentanan, namun kerentanan kritis melonjak secara dramatis, melonjak dari 4 menjadi 37 dalam satu tahun.
Platform cloud bukan lagi sekadar infrastruktur. Mereka sangat penting untuk operasional bisnis, menyediakan beragam layanan, termasuk manajemen identitas dan akses, otomatisasi bisnis, sarana kendali untuk seluruh perusahaan, dll.
Kelemahan kritis dalam lingkungan ini menimbulkan implikasi yang lebih dari sekadar pengungkapan data. Hal ini dapat melumpuhkan seluruh alur kerja (dan, pada akhirnya, operasi bisnis) dan dapat meruntuhkan batasan kepercayaan dengan kecepatan mesin. Ketika kerentanan cloud menjadi kritis, radius ledakan menjadi metrik risiko yang menentukan.
Unduh Laporan Kerentanan Microsoft 2026
Dalam laporan tahunan edisi ke-13 yang diterbitkan oleh BeyondTrust, dapatkan analisis mendetail tentang kerentanan dan tren yang penting.
Dapatkan juga manfaat dari wawasan para ahli tentang cara terbaik melindungi organisasi Anda saat lanskap ancaman mengalami evolusi yang pesat.
Dalam praktiknya, satu identitas yang salah dikonfigurasi di Azure dapat memberikan kunci ke seluruh penyewa Anda kepada penyerang, dan sebagian besar organisasi tidak akan mengetahuinya sampai kerusakan terjadi. CVE-2025-55241, kelemahan penting Entra ID yang ditambal pada Juli 2025, menggambarkan hal ini dengan tepat: penyerang dapat memalsukan token yang diterima di penyewa mana pun, tanpa meninggalkan jejak di log korban.
Di sisi titik akhir dan server, hasilnya beragam, namun tetap mengganggu. Jumlah total kerentanan Microsoft Windows menurun, namun jumlah kritis tetap konsisten dan sangat tinggi. Kerentanan Microsoft Windows Server meningkat menjadi 780, dengan 50 diklasifikasikan sebagai kritis. Server tetap menjadi target bernilai tinggi karena sering kali dijalankan dengan hak istimewa yang lebih tinggi, menjadi tuan rumah layanan bersama, dan memberikan landasan bagi berbagai macam infrastruktur bisnis.
Pelaku ancaman memahami bahwa peretasan server sering kali memberikan akses yang lebih cepat dan lebih dalam dibandingkan peretasan desktop saja. Ini adalah pernyataan yang sering kami dengar dari CISO: “Kami telah memperbaiki semua hal penting, jadi mengapa kami masih mengalami pelanggaran?” Data ini menjelaskan alasannya.
Mungkin perubahan data yang paling menonjol adalah perangkat lunak produktivitas. Kerentanan Microsoft Office melonjak 234% dari tahun ke tahun, meningkat dari 47 menjadi 157, dengan kerentanan kritis melonjak dari 3 menjadi 31 (meningkat 10x dari tahun lalu).
Microsoft Office tetap menjadi salah satu platform serangan yang paling banyak disalahgunakan karena merupakan titik persimpangan antara perilaku manusia, operasi sehari-hari, dan kelangsungan bisnis.
Makro, berbagi dokumen, panel pratinjau, rendering HTML, kemampuan AI baru, dan add-in menciptakan lanskap unik untuk eksploitasi. Saat kerentanan Office melonjak, pengguna tetap menjadi titik masuk paling andal melalui rekayasa sosial.
Tren kategori memperkuat pola yang jelas: Peningkatan Hak Istimewa dan Keterbukaan Informasi meningkat secara bersamaan. Penyerang memprioritaskan tindakan sembunyi-sembunyi dan pengintaian, dan ketika pelaku ancaman mengetahui lingkungan Anda lebih baik daripada tim Anda sendiri, setiap serangan berikutnya menjadi lebih mudah.
Apa yang Harus Dilakukan Organisasi Mengenai Hal Ini
Prioritas pertahanan terdekat adalah mempersempit radius ledakan sebelum siklus patch berikutnya. Itu berarti mengaudit hak admin berdirimemperlakukan akun layanan dan agen AI dengan pengawasan yang sama seperti identitas manusia, dan menonaktifkan panel pratinjau Windows (tujuh CVE pada tahun 2025 mengeksploitasinya sebagai titik masuk).
Bagi organisasi, manfaatnya sudah jelas. Manajemen patch saja tidak cukup, dan organisasi harus memprioritaskan kerentanan yang memungkinkannya peningkatan hak istimewapenyalahgunaan identitas, dan gerakan lateral Pertama. Hal ini memerlukan konteks, pengetahuan tentang eksploitasi, pemetaan ke kerangka kerja seperti MITRE ATT&CK, dan bukan hanya skor CVSS. Hal ini juga memerlukan pemikiran ulang asumsi kepercayaan di seluruh lapisan cloud, titik akhir, server, dan produktivitas.
Organisasi-organisasi yang terdepan dalam hal ini tidak hanya melakukan perbaikan dengan lebih cepat. Mereka memiliki pemikiran yang berbeda tentang arti hak istimewa di lingkungan yang mengutamakan cloud.
Di organisasi tempat kami bekerja, agen AI dengan cepat berevolusi dari kekhawatiran di masa depan menjadi kenyataan saat ini hampir dalam sekejap, dan sebagian besar tidak memiliki hal tersebut Manajemen postur keamanan AI diperlukan untuk tata kelola yang baik.
Manajemen patch penting, namun patch gagal memperbaiki atau menerapkan hak istimewa yang berlebihan hak istimewa paling sedikit untuk agen AI. Hantu dalam data ini bukanlah jumlah kerentanan. Itu semua adalah kerentanan yang terbuka ketika kontrol identitas tidak ada untuk menghentikannya.
Untuk lanskap tahun 2026 dan seterusnya, Laporan Kerentanan Microsoft 2026 memperkuat kebenaran yang sulit. Pelaku ancaman tidak lagi mendobrak pintu depan dengan eksploitasi kekerasan. Mereka masuk, meningkat secara diam-diam, dan beroperasi sebagai pengguna tepercaya, baik manusia maupun mesin.
Jika program keamanan tidak fokus pada pengurangan hak istimewa, visibilitas identitas, dan penilaian risiko yang berkelanjutan, jumlahnya mungkin terlihat stabil dari tahun ke tahun, namun permukaan serangan dan dampak bisnis akan terus meningkat.
Unduh yang lengkap Laporan Kerentanan Microsoft 2026 sekarang untuk analisis mendetail tentang kerentanan dan lanskap keamanan Microsoft—dan apa artinya semua itu bagi Anda.
Penulis
Morey J. Haber, Kepala Penasihat Keamanan, BeyondTrust
Morey J. Haber adalah Kepala Penasihat Keamanan di BeyondTrust. Sebagai Kepala Penasihat Keamanan, Morey adalah penginjil identitas dan teknis utama di BeyondTrust. Ia memiliki lebih dari 25 tahun pengalaman di industri TI dan telah menulis lima buku: Attack Vectors: The History of Cybersecurity, Privileged Attack Vectors, Asset Attack Vectors, Identity Attack Vectors, dan Cloud Attack Vectors. Morey sebelumnya menjabat sebagai Chief Security Officer, Chief Technology Officer, dan Wakil Presiden Manajemen Produk BeyondTrust selama hampir 13 tahun masa jabatannya. Pada tahun 2020, Morey terpilih menjadi anggota Dewan Penasihat Eksekutif Identity Defined Security Alliance (IDSA) untuk membantu komunitas korporat dengan praktik terbaik keamanan identitas. Dia awalnya bergabung dengan BeyondTrust pada tahun 2012 sebagai bagian dari akuisisi eEye Digital Security di mana dia menjabat sebagai Pemilik Produk dan Insinyur Solusi sejak tahun 2004. Sebelum eEye, dia adalah Manajer Pengembangan Beta untuk Computer Associates, Inc. Dia memulai karirnya sebagai Insinyur Keandalan dan Pemeliharaan untuk kontraktor pemerintah yang membangun simulator penerbangan dan pelatihan. Morey memperoleh gelar Bachelor of Science di bidang Teknik Elektro dari State University of New York di Stony Brook.
James Maude, Kepala Staf Teknologi Lapangan, BeyondTrust
James Maude adalah Chief Technology Officer Lapangan (FCTO) di BeyondTrust. Dengan pengalamannya yang luas dalam penelitian keamanan, baik di bidang akademis maupun industri, James telah menghabiskan satu dekade terakhir menganalisis ancaman dunia maya untuk mengidentifikasi vektor serangan dan tren dalam lanskap keamanan yang terus berkembang. Dia adalah anggota aktif komunitas keamanan dan menjadi pembawa acara Adventures of Alice and Bob, sebuah podcast yang menyoroti orang-orang yang membuat perbedaan dalam keamanan. Sebagai pakar keamanan siber, ia secara rutin memberikan presentasi di acara-acara internasional dan mengadakan webinar untuk membahas ancaman dan strategi pertahanan.
Disponsori dan ditulis oleh Melampaui Kepercayaan.
