Количество критических уязвимостей Microsoft сократилось на 47%

Согласно ежегодному отчету BeyondTrust Microsoft Vulnerabilities 2022 , общее количество уязвимостей во всех продуктах Microsoft в 2021 году сократилось на 5%. Всплеск общего числа уязвимостей наблюдался в Internet Explorer и Microsoft Edge, большинство недостатков были не критическими. Уязвимостям были подвержены также Windows, Windows Server, Microsoft Office, Azure Cloud и Dynamics365, ERP-решения Microsoft. Кроме того, второй год подряд повышение привилегий содержит наибольшее количество зарегистрированных уязвимостей.

«Мы видим снижение количества критических уязвимостей. Проще говоря, для злоумышленника переход от уязвимости браузера к полному контролю над системой усложнился», - сказал ведущий исследователь кибербезопасности BeyondTrust Джеймс Мод.

Уязвимости Internet Explorer и Edge

В 2021 году было зафиксировано рекордное количество уязвимостей (349 шт.) Internet Explorer и Edge. Это почти в 4 раза больше, чем в 2020 году, хотя только 6 считались критическими.

Внезапное увеличение произошло по следующим причинам:

• Произошла консолидация рынка браузеров, из-за которой Edge принял технологию браузера Google Chrome;
• Уменьшение количества подключаемых модулей браузера;
• Повышение прозрачности отчетов об уязвимостях от Google.

Уязвимости Windows

В 2020 году в Windows 7, Windows RT, Windows 8/8.1 и Windows 10 было обнаружено 507 уязвимостей. 60 недостатков Windows 10 были критическими. Количество уязвимостей Windows сократилось на 40% по сравнению с 2020 годом и на 50% за последние 5 лет.

Уязвимости Microsoft Office

Из 66 обнаруженных уязвимостей Office только 1 была критической. Однако, приложения Office по-прежнему уязвимы для старых эксплойтов, даже несмотря на то, что исправления были доступны в течение многих лет.

Уязвимости Windows Server

Уязвимости Windows Server упали до самого низкого уровня с 2018 года. По сравнению с 2021 годом количество уязвимостей Windows Server уменьшилось на 41%, а критических уязвимостей на 50% по сравнению с 2020 годом.

Уязвимости Azure и Dynamics 365

Из 30 уязвимостей в Azure только 5 считались критическими. В 2020 году в Dynamics 365 было 6 критических уязвимостей.

В отчете названы 3 уязвимости как самые опасные:

• Уязвимость сервера Microsoft Exchange, позволяющая удаленно выполнить код ( CVE-2021-28480 и CVE-2021-28481 )
• Уязвимость удаленного выполнения кода Windows DNS Server (CVE-2021-34473, CVE-2021-26894, CVE-2021-26895 и CVE-2021-26897)
• Уязвимость удаленного выполнения кода Microsoft Defender для IoT ( CVE-2021-42311 и CVE-2021-4231)

Ранее компания Microsoft опубликовала руководство по исправлению недавно обнаруженной уязвимости нулевого дня в пакете Office для повышения производительности, которую можно использовать для выполнения кода в системе. Уязвимость CVE-2022-30190 с оценкой 7,8 из 10 затрагивает Microsoft Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.