BeyondTrust 报告:2023 年微软安全漏洞减少 5%

微软的漏洞数量在 2023 年基本持平,特权提升和身份攻击尤为常见。BeyondTrust 的年度 Microsoft 漏洞报告.

身份和访问管理解决方案公司研究了 2023 年最重要的 CVE 以及来自 Microsoft 每月补丁星期二公告的 Microsoft 漏洞数据。该报告包括漏洞趋势和有关如何减少身份攻击的提示。

微软报告 2023 年存在 1,228 个漏洞

过去四年中,Microsoft 漏洞总数基本保持稳定,2023 年报告的漏洞数量略有下降 (5%),从 1,292 个减少到 1,228 个。

自2020年上升以来,微软漏洞数量一直保持在1200至1300个之间。图片来源:BeyondTrust

Integral Partners 身份和访问管理技术总监 David Morimanno 告诉 BeyondTrust:“微软及时修补已知漏洞的努力可能会减少攻击者利用漏洞的机会,从而抵消新漏洞的发现。” “此外,随着 MS 代码库的成熟,新漏洞的引入速度可能会变慢。”

Microsoft 关键漏洞(即在 NIST 通用漏洞评分系统中得分为 9.0 或更高的漏洞)的发生率已经放缓。 2023 年,微软存在 84 个严重漏洞,而 2022 年为 89 个,2020 年为 196 个,创五年新高。

Microsoft 漏洞如何分类

微软有自己的严重程度评级系统与 NIST 不同,NIST 会产生略有不同的数字。例如,2023 年的 33 个微软漏洞在 NIST 的评分系统中被列为严重漏洞,但微软自己将 2023 年的 84 个漏洞列为严重漏洞。微软的分类系统仍然体现了漏洞同比小幅下降的总体趋势,严重漏洞下降了6%。

BeyondTrust 指出,并非所有记录的 Microsoft 漏洞都会带来重大风险;有些大多是理论上的,或者即使被利用也只会产生很小的影响。然而,有些漏洞一旦被利用,就会对组织造成严重损害,而这些漏洞是 Microsoft 倾向于归类为关键漏洞的漏洞,无论威胁行为者是否主动利用了该漏洞。

最常见的 Microsoft 漏洞类型

2023 年最常见的漏洞类型是:

  • 特权提升 (490)。
  • 远程代码执行 (356)。
  • 信息披露(124)。
  • 拒绝服务 (109)。
  • 欺骗 (90)。
  • 安全故障绕过 (56)。
  • 篡改(3)。

在被列为严重的漏洞中,大多数是在 Windows 桌面和服务器类别中发现的。这两个类别具有相同的代码库,因此它们的数字相似也就不足为奇了。

尽管特权提升是最常见的漏洞,2023 年有 490 个实例,但与 2022 年的 715 个实例相比显着下降。尤其是 Azure 和 Windows Server 发现的特权提升漏洞要少得多。

SEE:微软最近开放了,其安全产品套件的生成人工智能附加组件。 (科技共和国)

远程代码执行漏洞在 Azure、Office 和 Windows 中减少,但在 Windows Server 中增加。

有关哪些 Microsoft 产品中出现哪些类型的漏洞以及何时出现的详细信息,请参阅完整的报告.

威胁行为者专注于基于身份的渗透技术

报告指出:“随着微软漏洞总数的稳定和关键漏洞数量的减少,我们看到攻击者就像水一样,会流向阻力最小的路径,并将更多的注意力集中在身份上。”

微软遭受了午夜暴雪攻击,这是一次由国家支持的违规行为可能影响了美国联邦机构由于基于身份的渗透.

IT 咨询公司 InGuardians, Inc. 的首席执行官兼首席技术官杰伊·比尔 (Jay Beale) 在报告中告诉 BeyondTrust:“午夜暴雪是流行谚语‘攻击者不会闯入 - 他们会登录’的另一个例子。”

基于身份的渗透就像攻击者以某种方式获取合法登录信息一样简单。身份风险可能很难提前识别,并且可能以以下任何方式突然出现:

  • 加入者、移动者和离开者过程。
  • 用户权限、权利、特权和角色。
  • 权限身份验证,例如多重身份验证或单点登录。
  • 对静态和运行时操作的身份和帐户进行授权。

报告建议,防御者应该开始更全面地考虑特权、身份卫生和身份威胁检测,以便检测更多基于身份的渗透攻击。

“在所有用户中培养意识和教育文化至关重要,”CQURE 首席执行官 Paula Januszkiewicz 告诉 BeyondTrust。 “与通常是一项单独工作的黑客攻击不同,网络安全本质上是一项协作工作。报告中呼应的这一观点强调了以人为本的网络安全方法的重要性。”

为什么微软的漏洞正在减少

BeyondTrust 列出了 Microsoft 产品风险逐渐降低的一些可能原因。刷新周期继续进行,最终逐步淘汰长期被遗忘的代码,这些代码可能不受支持且已有 20 年之久。特别是,在 Microsoft 2004 年制定安全开发生命周期之前生产的产品正在被全面淘汰。微软的长期安全努力可能会得到回报。云技术已经成熟,现在可以更有效地保护安全。

BeyondTrust 将减少漏洞方面的成功部分归功于微软与其安全研究社区加强的合作。特别是,安全研究社区在 2023 年检测到了 Windows Server 中发现的许多远程代码执行漏洞。

使用 Edge 的 Chromium 代码库而不是自定义的 Microsoft 代码库以及删除对 Internet Explorer 的支持可能会减少 Edge 中严重漏洞的实例。

Microsoft 已锁定攻击者使用 Office 应用程序利用网络钓鱼和恶意软件有效负载的多种方式。然而,2022 年 6 月增加了对 SketchUp Software 专有 SKP 文件的支持,允许通过 3D 模型利用某些漏洞。