BeyondTrust 发布了最新的 Microsoft 漏洞数据年度分析报告,剖析了 2023 年 Microsoft 漏洞的数据。并评估了这些漏洞是如何被利用的,以及该如何采取措施来缓解漏洞。
报告发现,2023 年报告的漏洞总数为 1228 个,相较 2022 年的 1292 个略有下降(下降了 5%)。但漏洞总数基本稳定在历史最高水平附近,过去四年(自 2020 年以来)一直保持在 1200 到 1300 个之间。
Integral Partners 身份和访问管理技术总监 David Morimanno 认为:“微软及时修补已知漏洞的努力可能会减少攻击者利用漏洞的机会,从而抵消新漏洞的发现。此外,随着 MS 代码库的成熟,新漏洞出现的速度也可能会变慢。”
目前,Microsoft 严重漏洞(即在 NIST 通用漏洞评分系统中得分为 9.0 或更高的漏洞)总数继续呈下降趋势。 在 2023 年的数量已经减少至 84 个,在 2022 年这一数量为 89 个,2020 年创五年新高为 196 个。
此外,Microsoft Azure 和 Dynamics 365 漏洞在 2022 年经历了一场猛增后,到 2023 年几乎减少了一半,从 114 个减少到 63 个。
2023 年最常见的 Microsoft 漏洞类型包括:
- 特权提升 490 个。
- 远程代码执行 356 个。
- 信息披露 124 个。
- 拒绝服务 109 个。
- 欺骗 (Spoofing) 90 个。
- Security failure bypass 56 个。
- 篡改 (Tampering) 3 个。
值得一提的是,虽然特权提升在 2023 年有 490 个实例是最常见的漏洞,但与 2022 年的 715 个实例相比有了显著下降。远程代码执行漏洞则在 Azure、Office 和 Windows 中有所减少,但在 Windows Server 中有所增加。