但對(duì)于CISO而言，一個(gè)更有說(shuō)明力的指標(biāo)不僅僅是發(fā)現(xiàn)了多少漏洞——而是這些漏洞有多危險(xiǎn)。在這方面，數(shù)據(jù)帶來(lái)了一些好消息。2024年，嚴(yán)重漏洞的數(shù)量下降至78個(gè)，低于前一年的84個(gè)，也不到2020年記錄的196個(gè)的一半。這是自報(bào)告開(kāi)始以來(lái)，嚴(yán)重漏洞數(shù)量最低的一次。

關(guān)鍵風(fēng)險(xiǎn)

嚴(yán)重缺陷——即無(wú)需用戶(hù)輸入即可執(zhí)行代碼的漏洞——是在實(shí)際環(huán)境中最有可能被利用的漏洞之一。它們持續(xù)減少，表明微軟的開(kāi)發(fā)流程和架構(gòu)有所改善。

不過(guò)，并非所有類(lèi)別都呈現(xiàn)相同的趨勢(shì)。權(quán)限提升(EoP)漏洞占總漏洞的40%，遠(yuǎn)程代碼執(zhí)行(RCE)緊隨其后。這兩者仍然是攻擊者的首要目標(biāo)。

“今年的數(shù)據(jù)清楚地提醒我們，威脅態(tài)勢(shì)并沒(méi)有放緩——而是在迅速演變。”BeyondTrust的現(xiàn)場(chǎng)CTO詹姆斯·莫德表示。

“權(quán)限提升漏洞的持續(xù)主導(dǎo)地位凸顯出，特權(quán)對(duì)攻擊者而言?xún)r(jià)值巨大，也是他們?yōu)楹螘?huì)繼續(xù)瞄準(zhǔn)具有特權(quán)的身份，以便進(jìn)行橫向移動(dòng)并訪(fǎng)問(wèn)關(guān)鍵系統(tǒng)。這些趨勢(shì)再次強(qiáng)調(diào)了企業(yè)不僅需要關(guān)注補(bǔ)丁，還需要確保在其環(huán)境中保護(hù)底層的特權(quán)路徑，以減少每個(gè)身份和訪(fǎng)問(wèn)點(diǎn)的攻擊面。”莫德繼續(xù)說(shuō)道。

這些漏洞是攻擊者所依賴(lài)的關(guān)鍵機(jī)制，因?yàn)槠髽I(yè)正在加強(qiáng)對(duì)其環(huán)境中最小權(quán)限的控制。如果能夠減少威脅行為者對(duì)特權(quán)的訪(fǎng)問(wèn)，就能在被利用時(shí)減小“影響范圍”。

正如網(wǎng)絡(luò)風(fēng)險(xiǎn)機(jī)遇公司(Cyber Risk Opportunities)的CISO基普·波義耳所說(shuō)：“權(quán)限提升是勒索軟件操作員的金鑰匙。一旦攻擊者獲得管理權(quán)限，他們就可以執(zhí)行其行動(dòng)方案中最具破壞性的部分。”

Microsoft Edge瀏覽器原本一直在穩(wěn)步改進(jìn)，卻打破了這一趨勢(shì)。其漏洞數(shù)量躍升至292個(gè)，其中9個(gè)為嚴(yán)重漏洞，而上一年僅為1個(gè)。其中許多漏洞允許代碼逃離瀏覽器沙箱，基本上將瀏覽器變成了進(jìn)行橫向移動(dòng)的門(mén)戶(hù)。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在2024年10月針對(duì)多個(gè)Edge漏洞發(fā)布了罕見(jiàn)的警告。

Microsoft Office過(guò)去一直是企業(yè)的主要安全痛點(diǎn)。惡意網(wǎng)絡(luò)釣魚(yú)文檔會(huì)利用常見(jiàn)漏洞，或者僅僅通過(guò)社會(huì)工程學(xué)手段誘騙用戶(hù)打開(kāi)文檔并允許宏運(yùn)行，以便濫用內(nèi)置功能進(jìn)行不法活動(dòng)。

Microsoft Office漏洞激增

Office的漏洞總數(shù)也激增了24%，扭轉(zhuǎn)了上一年的下降趨勢(shì)。與此同時(shí)，Azure和Dynamics 365的漏洞總數(shù)也增加了14%。一個(gè)突出問(wèn)題：Microsoft Copilot Studio中的一個(gè)服務(wù)器端請(qǐng)求偽造(SSRF)漏洞，讓攻擊者能夠檢索訪(fǎng)問(wèn)令牌并連接到內(nèi)部云資源。

補(bǔ)丁仍然至關(guān)重要，但還不夠。包括CVE-2024-49138(一個(gè)被利用以獲得系統(tǒng)級(jí)訪(fǎng)問(wèn)權(quán)限的通用日志文件系統(tǒng)(CLFS)驅(qū)動(dòng)程序漏洞)在內(nèi)的多個(gè)零日漏洞凸顯了分層防御的必要性。

2025年，對(duì)微軟而言，建立用戶(hù)對(duì)補(bǔ)丁和更新質(zhì)量和穩(wěn)定性的信心至關(guān)重要。這是為了加快企業(yè)安心部署補(bǔ)丁的速度。

“如果說(shuō)2025年有一條重要的經(jīng)驗(yàn)，”CQURE的首席執(zhí)行官保拉·雅努什基維奇表示，“那就是主動(dòng)威脅搜尋和最小權(quán)限應(yīng)該成為首要任務(wù)。”

微軟在2023年末推出的“安全未來(lái)倡議”(SFI)聲稱(chēng)將安全置于開(kāi)發(fā)的首位。SFI的一些里程碑事件包括淘汰未使用的應(yīng)用程序和擴(kuò)大防釣魚(yú)憑據(jù)的范圍。不過(guò)，專(zhuān)家警告不要對(duì)早期結(jié)果解讀過(guò)多。

盡管漏洞總數(shù)有所增加，但長(zhǎng)期趨勢(shì)顯示增長(zhǎng)速度似乎正在趨于穩(wěn)定。這與嚴(yán)重漏洞數(shù)量持續(xù)減少的趨勢(shì)相結(jié)合，表明微軟的安全舉措以及現(xiàn)代操作系統(tǒng)安全架構(gòu)的改進(jìn)正在取得成效。

“漏洞就像是面包屑，”谷歌云的顧問(wèn)安東·丘瓦金表示，“它們指向流程失敗，而不僅僅是糟糕的代碼。”

雖然本報(bào)告回顧的是2024年的情況，但值得注意的是，2025年的第一個(gè)“補(bǔ)丁星期二”是自2017年以來(lái)規(guī)模最大的一次，覆蓋了159個(gè)漏洞，其中包括8個(gè)零日漏洞。

我們需要做好準(zhǔn)備，不僅要盡可能快地打補(bǔ)丁，還要確保通過(guò)其他緩解措施(如最小權(quán)限、零信任和系統(tǒng)的即時(shí)訪(fǎng)問(wèn))來(lái)盡可能確保最佳安全態(tài)勢(shì)，以最小化這些零日漏洞被利用時(shí)的影響范圍。