Согласно ежегодному отчету BeyondTrust Microsoft Vulnerabilities 2022 , общее количество уязвимостей во всех продуктах Microsoft в 2021 году сократилось на 5%. Всплеск общего числа уязвимостей наблюдался в Internet Explorer и Microsoft Edge, большинство недостатков были не критическими. Уязвимостям были подвержены также Windows, Windows Server, Microsoft Office, Azure Cloud и Dynamics365, ERP-решения Microsoft. Кроме того, второй год подряд повышение привилегий содержит наибольшее количество зарегистрированных уязвимостей.
«Мы видим снижение количества критических уязвимостей. Проще говоря, для злоумышленника переход от уязвимости браузера к полному контролю над системой усложнился», - сказал ведущий исследователь кибербезопасности BeyondTrust Джеймс Мод.
Уязвимости Internet Explorer и Edge
В 2021 году было зафиксировано рекордное количество уязвимостей (349 шт.) Internet Explorer и Edge. Это почти в 4 раза больше, чем в 2020 году, хотя только 6 считались критическими.
Внезапное увеличение произошло по следующим причинам:
Произошла консолидация рынка браузеров, из-за которой Edge принял технологию браузера Google Chrome;
Уменьшение количества подключаемых модулей браузера;
Повышение прозрачности отчетов об уязвимостях от Google.
Уязвимости Windows
В 2020 году в Windows 7, Windows RT, Windows 8/8.1 и Windows 10 было обнаружено 507 уязвимостей. 60 недостатков Windows 10 были критическими. Количество уязвимостей Windows сократилось на 40% по сравнению с 2020 годом и на 50% за последние 5 лет.
Уязвимости Microsoft Office
Из 66 обнаруженных уязвимостей Office только 1 была критической. Однако, приложения Office по-прежнему уязвимы для старых эксплойтов, даже несмотря на то, что исправления были доступны в течение многих лет.
Уязвимости Windows Server
Уязвимости Windows Server упали до самого низкого уровня с 2018 года. По сравнению с 2021 годом количество уязвимостей Windows Server уменьшилось на 41%, а критических уязвимостей на 50% по сравнению с 2020 годом.
Уязвимости Azure и Dynamics 365
Из 30 уязвимостей в Azure только 5 считались критическими. В 2020 году в Dynamics 365 было 6 критических уязвимостей.
В отчете названы 3 уязвимости как самые опасные:
Уязвимость сервера Microsoft Exchange, позволяющая удаленно выполнить код ( CVE-2021-28480 и CVE-2021-28481 )
Уязвимость удаленного выполнения кода Windows DNS Server (CVE-2021-34473, CVE-2021-26894, CVE-2021-26895 и CVE-2021-26897)
Уязвимость удаленного выполнения кода Microsoft Defender для IoT ( CVE-2021-42311 и CVE-2021-4231)
Ранее компания Microsoft опубликовала руководство по исправлению недавно обнаруженной уязвимости нулевого дня в пакете Office для повышения производительности, которую можно использовать для выполнения кода в системе. Уязвимость CVE-2022-30190 с оценкой 7,8 из 10 затрагивает Microsoft Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus.