近日，網(wǎng)絡(luò)安全領(lǐng)域的知名公司BeyondTrust公布了一份針對(duì)微軟產(chǎn)品的安全漏洞年度報(bào)告，揭示了2024年微軟產(chǎn)品安全形勢(shì)的嚴(yán)峻性。據(jù)報(bào)告顯示，去年微軟產(chǎn)品共被發(fā)現(xiàn)了1360個(gè)安全漏洞，相比2022年的最高紀(jì)錄1292個(gè)，有了11%的增長(zhǎng)。

在這些漏洞中，權(quán)限提升（EoP）漏洞占據(jù)了主導(dǎo)地位，占總漏洞數(shù)量的40%，成為黑客攻擊的主要目標(biāo)。這意味著攻擊者通過(guò)利用這些漏洞，可以提升自己的權(quán)限，進(jìn)而訪問(wèn)和操作關(guān)鍵系統(tǒng)。同時(shí)，報(bào)告還指出，安全功能繞過(guò)漏洞的數(shù)量也呈現(xiàn)顯著增長(zhǎng)，從2023年的56個(gè)增加到2024年的90個(gè)，增幅高達(dá)60%。

特別值得關(guān)注的是，微軟Edge瀏覽器在2024年的漏洞數(shù)量也大幅增加，總數(shù)達(dá)到292個(gè)，相比前一年增長(zhǎng)了17%。更令人擔(dān)憂的是，這些漏洞中包含了9個(gè)關(guān)鍵級(jí)別的漏洞，而2022年這一數(shù)字還為零。這意味著Edge瀏覽器的安全性正面臨嚴(yán)峻挑戰(zhàn)，用戶需要更加警惕。

針對(duì)這些安全漏洞，BeyondTrust在報(bào)告中提出了建議。他們認(rèn)為，微軟應(yīng)該加強(qiáng)軟件開(kāi)發(fā)階段的安全編碼和威脅建模能力，從根本上減少潛在漏洞的產(chǎn)生。盡管形勢(shì)嚴(yán)峻，但報(bào)告也指出了一些積極的跡象。比如，2024年微軟生態(tài)系統(tǒng)中的關(guān)鍵漏洞數(shù)量持續(xù)下降，這反映出微軟在安全措施和現(xiàn)代操作系統(tǒng)架構(gòu)方面的改進(jìn)取得了一定成效。同時(shí)，Azure和Dynamics 365等核心產(chǎn)品的漏洞數(shù)量也趨于穩(wěn)定，增長(zhǎng)速度放緩。

BeyondTrust的首席技術(shù)官James Maude對(duì)此表示，2024年的數(shù)據(jù)再次證明了網(wǎng)絡(luò)安全威脅的復(fù)雜性和多樣性。權(quán)限提升漏洞的主導(dǎo)地位凸顯了攻擊者對(duì)高權(quán)限賬戶的強(qiáng)烈興趣，他們?cè)噲D通過(guò)橫向滲透來(lái)獲取關(guān)鍵系統(tǒng)的訪問(wèn)權(quán)。Maude還強(qiáng)調(diào)，單純依賴(lài)補(bǔ)丁修復(fù)已經(jīng)無(wú)法滿足當(dāng)前的安全需求，因?yàn)檠a(bǔ)丁可能失效或帶來(lái)穩(wěn)定性風(fēng)險(xiǎn)。

因此，組織需要采取更加全面和深入的防御策略。Maude建議，組織應(yīng)該更加關(guān)注權(quán)限路徑的安全性，通過(guò)構(gòu)建多層次防御體系來(lái)降低每個(gè)身份和訪問(wèn)點(diǎn)的潛在風(fēng)險(xiǎn)。只有這樣，才能有效應(yīng)對(duì)攻擊者日益復(fù)雜的防御繞過(guò)手段，確保系統(tǒng)的安全性和穩(wěn)定性。