O número de vulnerabilidades da Microsoft caiu 5%, revertendo uma tendência de cinco anos aumentando acentuadamente, segundo Beyond Trust. Embora ataques de privilégios elevados continuem sendo uma preocupação, relatório diz que o número bruto de vulnerabilidades está caindo.
Um total de 1.212 novas vulnerabilidades foram descobertas em 2021, mas sua gravidade, bem como sua localização na família de produtos de ‘software’ da Microsoft, mudou substancialmente ano após ano. As vulnerabilidades classificadas como “críticas” no padrão CVSS caíram 47% no ano passado, atingindo seus níveis mais baixos desde que a Beyond Trust começou a emitir este relatório.
Vulnerabilidades no Windows, queda do Windows Server
O Windows e o Windows Server tiveram quedas acentuadas no total de vulnerabilidades detectadas, em 40% e 50%, respectivamente, enquanto as vulnerabilidades que afetam os navegadores Microsoft Edge e Internet Explorer atingiram um recorde.
Na análise mais recente, está a mudança para o sistema de pontuação de vulnerabilidade comum do NIST, que permite aos pesquisadores fazerem referência cruzada de falhas de segurança mais diretamente com bugs no ecossistema externo.
O tipo mais comum de vulnerabilidade envolveu a elevação de privilégios, em que um invasor obtém direitos de administrador em um sistema por meios ilícitos. Um total de 588 dessas vulnerabilidades foram descobertas em 2021. Os pesquisadores creditam uma adesão ampla às boas práticas de segurança para esse aumento.
Os invasores inovam para obter direitos de administrador
“Sem acesso fácil a usuários com direitos de administrador, os invasores começaram a inovar para obter privilégios elevados que podem ser usados para comprometer sistemas, roubar credenciais e mover-se lateralmente”.
A segunda vulnerabilidade centrava-se na execução remota de código, o que é particularmente perigoso, pois os ataques direcionados a essas falhas podem ser conduzidos com pouca ou nenhuma interação do usuário. Um total de 326 dessas vulnerabilidades foram encontradas em 2021, 35 das quais com classificação 9,0 ou superior na escala CVSS.
O relatório também revelou vulnerabilidades nos principais produtos da Microsoft: Azure, Windows e Microsoft Office. Este último viu apenas uma vulnerabilidade crítica, em comparação com um total de 66 encontrados em 2021, enquanto os mesmos números para Azure e Dynamics 365 foram sete e 44.
Pesquisadores elogiaram os esforços consistentes da Microsoft para manter o Azure seguro e elogiaram um “declínio constante” nas vulnerabilidades do Office. Da mesma forma, o próprio sistema operacional Windows teve uma queda de 40% no total de vulnerabilidades em 2021 em relação ao ano anterior, com uma queda de 50% nas falhas críticas de segurança.
Fontes: https://itforum.com.br/noticias
