精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

微軟產品的漏洞:哪些已得到改進,哪些仍面臨風險

責任編輯:cres

作者:D1net編譯

2025-04-18 14:40:41

來源:企業網D1Net

原創

微軟2024年漏洞總數突破歷史峰值達1360個,但嚴重高危漏洞銳減至78個創十年最低。權限提升漏洞以40%占比成攻擊者 "黃金鑰匙 ",Edge瀏覽器漏洞暴增292%、Office套件漏洞激增24%揭示了安全新痛點。

根據最新發布的BeyondTrust Microsoft Vulnerabilities Report顯示,微軟在2024年報告了創紀錄的1360個漏洞。這一數量比2022年的前一個紀錄增長了11%,并符合疫情大流行后的一個更廣泛趨勢:更多漏洞、更多產品以及更復雜的生態系統。

但對于CISO而言,一個更有說明力的指標不僅僅是發現了多少漏洞——而是這些漏洞有多危險。在這方面,數據帶來了一些好消息。2024年,嚴重漏洞的數量下降至78個,低于前一年的84個,也不到2020年記錄的196個的一半。這是自報告開始以來,嚴重漏洞數量最低的一次。

關鍵風險

嚴重缺陷——即無需用戶輸入即可執行代碼的漏洞——是在實際環境中最有可能被利用的漏洞之一。它們持續減少,表明微軟的開發流程和架構有所改善。

不過,并非所有類別都呈現相同的趨勢。權限提升(EoP)漏洞占總漏洞的40%,遠程代碼執行(RCE)緊隨其后。這兩者仍然是攻擊者的首要目標。

“今年的數據清楚地提醒我們,威脅態勢并沒有放緩——而是在迅速演變。”BeyondTrust的現場CTO詹姆斯·莫德表示。

“權限提升漏洞的持續主導地位凸顯出,特權對攻擊者而言價值巨大,也是他們為何會繼續瞄準具有特權的身份,以便進行橫向移動并訪問關鍵系統。這些趨勢再次強調了企業不僅需要關注補丁,還需要確保在其環境中保護底層的特權路徑,以減少每個身份和訪問點的攻擊面。”莫德繼續說道。

這些漏洞是攻擊者所依賴的關鍵機制,因為企業正在加強對其環境中最小權限的控制。如果能夠減少威脅行為者對特權的訪問,就能在被利用時減小“影響范圍”。

正如網絡風險機遇公司(Cyber Risk Opportunities)的CISO基普·波義耳所說:“權限提升是勒索軟件操作員的金鑰匙。一旦攻擊者獲得管理權限,他們就可以執行其行動方案中最具破壞性的部分。”

Microsoft Edge瀏覽器原本一直在穩步改進,卻打破了這一趨勢。其漏洞數量躍升至292個,其中9個為嚴重漏洞,而上一年僅為1個。其中許多漏洞允許代碼逃離瀏覽器沙箱,基本上將瀏覽器變成了進行橫向移動的門戶。美國網絡安全和基礎設施安全局(CISA)在2024年10月針對多個Edge漏洞發布了罕見的警告。

Microsoft Office過去一直是企業的主要安全痛點。惡意網絡釣魚文檔會利用常見漏洞,或者僅僅通過社會工程學手段誘騙用戶打開文檔并允許宏運行,以便濫用內置功能進行不法活動。

Microsoft Office漏洞激增

Office的漏洞總數也激增了24%,扭轉了上一年的下降趨勢。與此同時,Azure和Dynamics 365的漏洞總數也增加了14%。一個突出問題:Microsoft Copilot Studio中的一個服務器端請求偽造(SSRF)漏洞,讓攻擊者能夠檢索訪問令牌并連接到內部云資源。

補丁仍然至關重要,但還不夠。包括CVE-2024-49138(一個被利用以獲得系統級訪問權限的通用日志文件系統(CLFS)驅動程序漏洞)在內的多個零日漏洞凸顯了分層防御的必要性。

2025年,對微軟而言,建立用戶對補丁和更新質量和穩定性的信心至關重要。這是為了加快企業安心部署補丁的速度。

“如果說2025年有一條重要的經驗,”CQURE的首席執行官保拉·雅努什基維奇表示,“那就是主動威脅搜尋和最小權限應該成為首要任務。”

微軟在2023年末推出的“安全未來倡議”(SFI)聲稱將安全置于開發的首位。SFI的一些里程碑事件包括淘汰未使用的應用程序和擴大防釣魚憑據的范圍。不過,專家警告不要對早期結果解讀過多。

盡管漏洞總數有所增加,但長期趨勢顯示增長速度似乎正在趨于穩定。這與嚴重漏洞數量持續減少的趨勢相結合,表明微軟的安全舉措以及現代操作系統安全架構的改進正在取得成效。

“漏洞就像是面包屑,”谷歌云的顧問安東·丘瓦金表示,“它們指向流程失敗,而不僅僅是糟糕的代碼。”

雖然本報告回顧的是2024年的情況,但值得注意的是,2025年的第一個“補丁星期二”是自2017年以來規模最大的一次,覆蓋了159個漏洞,其中包括8個零日漏洞。

我們需要做好準備,不僅要盡可能快地打補丁,還要確保通過其他緩解措施(如最小權限、零信任和系統的即時訪問)來盡可能確保最佳安全態勢,以最小化這些零日漏洞被利用時的影響范圍。

企業網D1net(m.hfnxjk.com):

國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。

版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。

鏈接已復制,快去分享吧

企業網版權所有?2010-2025 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 福海县| 丰原市| 炉霍县| 乌恰县| 开阳县| 乌鲁木齐县| 伊春市| 朝阳县| 丰宁| 清新县| 年辖:市辖区| 广水市| 图片| 深圳市| 平阳县| 杂多县| 蓝山县| 平安县| 泰和县| 张家界市| 利辛县| 江北区| 上林县| 水城县| 左贡县| 布拖县| 潮安县| 石台县| 门源| 临澧县| 五台县| 邵东县| 镇宁| 广宁县| 武强县| 天全县| 霸州市| 固阳县| 昔阳县| 岳普湖县| 石河子市|