但對于CISO而言，一個更有說明力的指標不僅僅是發(fā)現(xiàn)了多少漏洞——而是這些漏洞有多危險。在這方面，數(shù)據(jù)帶來了一些好消息。2024年，嚴重漏洞的數(shù)量下降至78個，低于前一年的84個，也不到2020年記錄的196個的一半。這是自報告開始以來，嚴重漏洞數(shù)量最低的一次。

關(guān)鍵風險

嚴重缺陷——即無需用戶輸入即可執(zhí)行代碼的漏洞——是在實際環(huán)境中最有可能被利用的漏洞之一。它們持續(xù)減少，表明微軟的開發(fā)流程和架構(gòu)有所改善。

不過，并非所有類別都呈現(xiàn)相同的趨勢。權(quán)限提升(EoP)漏洞占總漏洞的40%，遠程代碼執(zhí)行(RCE)緊隨其后。這兩者仍然是攻擊者的首要目標。

“今年的數(shù)據(jù)清楚地提醒我們，威脅態(tài)勢并沒有放緩——而是在迅速演變?！盉eyondTrust的現(xiàn)場CTO詹姆斯·莫德表示。

“權(quán)限提升漏洞的持續(xù)主導地位凸顯出，特權(quán)對攻擊者而言價值巨大，也是他們?yōu)楹螘^續(xù)瞄準具有特權(quán)的身份，以便進行橫向移動并訪問關(guān)鍵系統(tǒng)。這些趨勢再次強調(diào)了企業(yè)不僅需要關(guān)注補丁，還需要確保在其環(huán)境中保護底層的特權(quán)路徑，以減少每個身份和訪問點的攻擊面?！蹦吕^續(xù)說道。

這些漏洞是攻擊者所依賴的關(guān)鍵機制，因為企業(yè)正在加強對其環(huán)境中最小權(quán)限的控制。如果能夠減少威脅行為者對特權(quán)的訪問，就能在被利用時減小“影響范圍”。

正如網(wǎng)絡風險機遇公司(Cyber Risk Opportunities)的CISO基普·波義耳所說：“權(quán)限提升是勒索軟件操作員的金鑰匙。一旦攻擊者獲得管理權(quán)限，他們就可以執(zhí)行其行動方案中最具破壞性的部分。”

Microsoft Edge瀏覽器原本一直在穩(wěn)步改進，卻打破了這一趨勢。其漏洞數(shù)量躍升至292個，其中9個為嚴重漏洞，而上一年僅為1個。其中許多漏洞允許代碼逃離瀏覽器沙箱，基本上將瀏覽器變成了進行橫向移動的門戶。美國網(wǎng)絡安全和基礎設施安全局(CISA)在2024年10月針對多個Edge漏洞發(fā)布了罕見的警告。

Microsoft Office過去一直是企業(yè)的主要安全痛點。惡意網(wǎng)絡釣魚文檔會利用常見漏洞，或者僅僅通過社會工程學手段誘騙用戶打開文檔并允許宏運行，以便濫用內(nèi)置功能進行不法活動。

Microsoft Office漏洞激增

Office的漏洞總數(shù)也激增了24%，扭轉(zhuǎn)了上一年的下降趨勢。與此同時，Azure和Dynamics 365的漏洞總數(shù)也增加了14%。一個突出問題：Microsoft Copilot Studio中的一個服務器端請求偽造(SSRF)漏洞，讓攻擊者能夠檢索訪問令牌并連接到內(nèi)部云資源。

補丁仍然至關(guān)重要，但還不夠。包括CVE-2024-49138(一個被利用以獲得系統(tǒng)級訪問權(quán)限的通用日志文件系統(tǒng)(CLFS)驅(qū)動程序漏洞)在內(nèi)的多個零日漏洞凸顯了分層防御的必要性。

2025年，對微軟而言，建立用戶對補丁和更新質(zhì)量和穩(wěn)定性的信心至關(guān)重要。這是為了加快企業(yè)安心部署補丁的速度。

“如果說2025年有一條重要的經(jīng)驗，”CQURE的首席執(zhí)行官保拉·雅努什基維奇表示，“那就是主動威脅搜尋和最小權(quán)限應該成為首要任務?！?/p>

微軟在2023年末推出的“安全未來倡議”(SFI)聲稱將安全置于開發(fā)的首位。SFI的一些里程碑事件包括淘汰未使用的應用程序和擴大防釣魚憑據(jù)的范圍。不過，專家警告不要對早期結(jié)果解讀過多。

盡管漏洞總數(shù)有所增加，但長期趨勢顯示增長速度似乎正在趨于穩(wěn)定。這與嚴重漏洞數(shù)量持續(xù)減少的趨勢相結(jié)合，表明微軟的安全舉措以及現(xiàn)代操作系統(tǒng)安全架構(gòu)的改進正在取得成效。

“漏洞就像是面包屑，”谷歌云的顧問安東·丘瓦金表示，“它們指向流程失敗，而不僅僅是糟糕的代碼?！?/p>

雖然本報告回顧的是2024年的情況，但值得注意的是，2025年的第一個“補丁星期二”是自2017年以來規(guī)模最大的一次，覆蓋了159個漏洞，其中包括8個零日漏洞。

我們需要做好準備，不僅要盡可能快地打補丁，還要確保通過其他緩解措施(如最小權(quán)限、零信任和系統(tǒng)的即時訪問)來盡可能確保最佳安全態(tài)勢，以最小化這些零日漏洞被利用時的影響范圍。