数据库|微软安全漏洞在五年上升后下降

虽然在使用 Microsoft 产品时提升特权攻击仍然是一个关键的安全问题，但一份新报告称，漏洞的原始数量正在下降。

根据身份管理和安全供应商 BeyondTrust 的一份新报告， 2021 年报告的 Microsoft 漏洞总数下降了 5% ，扭转了此类漏洞急剧上升的五年趋势。
2021 年共发现了 1212 个新漏洞，但它们的严重性以及它们在 Microsoft 软件产品系列中的位置逐年发生了重大变化。CVSS 标准中被评为“严重”的漏洞在过去一年中下降了 47% ，达到自 BeyondTrust 九年前开始发布此报告以来的最低水平。
Windows、Windows Server 上的漏洞下降Windows 和 Windows Server 检测到的漏洞总数均急剧下降，分别下降了 40% 和 50% ，而影响 Microsoft Edge 和 Internet Explorer 浏览器的漏洞则创下历史新高。
协助进行最新分析的是微软转向 NIST 的通用漏洞评分系统，该系统使研究人员可以更直接地交叉引用安全漏洞与外部生态系统中的错误。
2021 年最常见的漏洞类型涉及特权提升，攻击者通过非法手段获得系统的管理员权限。2021 年共发现了 588 个此类漏洞。 BeyondTrust 的研究人员认为，这种上升趋势得益于对良好安全实践的更广泛遵守——相反，拥有不必要管理员权限的用户普遍减少有助于将不良行为者的努力集中在试图获得提升的特权上不同的方法。
攻击者通过创新获得管理员权限报告称：“在无法轻松访问具有本地管理员权限的用户的情况下，攻击者已经开始创新以获得提升的权限，然后可以用来破坏系统、窃取凭据并横向移动。 ”
第二种最常见的漏洞类型以远程代码执行为中心，这特别危险，因为针对此类漏洞的攻击可以远程进行，几乎不需要或不需要用户交互。2021 年共发现 326 个此类漏洞，其中 35 个在 CVSS 量表上评分为 9.0 或更高。
BeyondTrust 报告称：“在这种风险下，一个可行的漏洞利用不是‘是否存在漏洞利用’ ，而是‘何时公开可用’ 。 ”
该报告还爆出微软关键产品的漏洞，包括 Azure、Windows 和 Microsoft Office 。后者仅发现一个严重漏洞，而 2021 年发现的漏洞总数为 66 个，而 Azure 和 Dynamics 365 的相同数字分别为 7 个和 44 个。
【数据库|微软安全漏洞在五年上升后下降】BeyondTrust 的研究人员赞扬了微软为保护 Azure 安全所做的不懈努力，并称赞 Office 漏洞的“稳步下降” 。同样， 2021 年 Windows 操作系统本身的漏洞总数比上一年下降了 40% ，关键安全漏洞下降了 50% 。