但對于CISO而言,一個更有說明力的指標不僅僅是發現了多少漏洞——而是這些漏洞有多危險。在這方面,數據帶來了一些好消息。2024年,嚴重漏洞的數量下降至78個,低于前一年的84個,也不到2020年記錄的196個的一半。這是自報告開始以來,嚴重漏洞數量最低的一次。
關鍵風險
嚴重缺陷——即無需用戶輸入即可執行代碼的漏洞——是在實際環境中最有可能被利用的漏洞之一。它們持續減少,表明微軟的開發流程和架構有所改善。
不過,并非所有類別都呈現相同的趨勢。權限提升(EoP)漏洞占總漏洞的40%,遠程代碼執行(RCE)緊隨其后。這兩者仍然是攻擊者的首要目標。
“今年的數據清楚地提醒我們,威脅態勢并沒有放緩——而是在迅速演變。”BeyondTrust的現場CTO詹姆斯·莫德表示。
“權限提升漏洞的持續主導地位凸顯出,特權對攻擊者而言價值巨大,也是他們為何會繼續瞄準具有特權的身份,以便進行橫向移動并訪問關鍵系統。這些趨勢再次強調了企業不僅需要關注補丁,還需要確保在其環境中保護底層的特權路徑,以減少每個身份和訪問點的攻擊面。”莫德繼續說道。
這些漏洞是攻擊者所依賴的關鍵機制,因為企業正在加強對其環境中最小權限的控制。如果能夠減少威脅行為者對特權的訪問,就能在被利用時減小“影響范圍”。
正如網絡風險機遇公司(Cyber Risk Opportunities)的CISO基普·波義耳所說:“權限提升是勒索軟件操作員的金鑰匙。一旦攻擊者獲得管理權限,他們就可以執行其行動方案中最具破壞性的部分。”
Microsoft Edge瀏覽器原本一直在穩步改進,卻打破了這一趨勢。其漏洞數量躍升至292個,其中9個為嚴重漏洞,而上一年僅為1個。其中許多漏洞允許代碼逃離瀏覽器沙箱,基本上將瀏覽器變成了進行橫向移動的門戶。美國網絡安全和基礎設施安全局(CISA)在2024年10月針對多個Edge漏洞發布了罕見的警告。
Microsoft Office過去一直是企業的主要安全痛點。惡意網絡釣魚文檔會利用常見漏洞,或者僅僅通過社會工程學手段誘騙用戶打開文檔并允許宏運行,以便濫用內置功能進行不法活動。
Microsoft Office漏洞激增
Office的漏洞總數也激增了24%,扭轉了上一年的下降趨勢。與此同時,Azure和Dynamics 365的漏洞總數也增加了14%。一個突出問題:Microsoft Copilot Studio中的一個服務器端請求偽造(SSRF)漏洞,讓攻擊者能夠檢索訪問令牌并連接到內部云資源。
補丁仍然至關重要,但還不夠。包括CVE-2024-49138(一個被利用以獲得系統級訪問權限的通用日志文件系統(CLFS)驅動程序漏洞)在內的多個零日漏洞凸顯了分層防御的必要性。
2025年,對微軟而言,建立用戶對補丁和更新質量和穩定性的信心至關重要。這是為了加快企業安心部署補丁的速度。
“如果說2025年有一條重要的經驗,”CQURE的首席執行官保拉·雅努什基維奇表示,“那就是主動威脅搜尋和最小權限應該成為首要任務。”
微軟在2023年末推出的“安全未來倡議”(SFI)聲稱將安全置于開發的首位。SFI的一些里程碑事件包括淘汰未使用的應用程序和擴大防釣魚憑據的范圍。不過,專家警告不要對早期結果解讀過多。
盡管漏洞總數有所增加,但長期趨勢顯示增長速度似乎正在趨于穩定。這與嚴重漏洞數量持續減少的趨勢相結合,表明微軟的安全舉措以及現代操作系統安全架構的改進正在取得成效。
“漏洞就像是面包屑,”谷歌云的顧問安東·丘瓦金表示,“它們指向流程失敗,而不僅僅是糟糕的代碼。”
雖然本報告回顧的是2024年的情況,但值得注意的是,2025年的第一個“補丁星期二”是自2017年以來規模最大的一次,覆蓋了159個漏洞,其中包括8個零日漏洞。
我們需要做好準備,不僅要盡可能快地打補丁,還要確保通過其他緩解措施(如最小權限、零信任和系統的即時訪問)來盡可能確保最佳安全態勢,以最小化這些零日漏洞被利用時的影響范圍。
企業網D1net(m.hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號