O número total de vulnerabilidades da Microsoft relatadas em 2021 caiu 5%, revertendo uma tendência de cinco anos que viu essas vulnerabilidades aumentando acentuadamente, de acordo com um novo relatório do fornecedor de gerenciamento de identidade e segurança BeyondTrust.
Um total de 1.212 novas vulnerabilidades foram descobertas em 2021, mas sua gravidade, bem como sua localização na família de produtos de software da Microsoft, mudou substancialmente ano após ano. As vulnerabilidades classificadas como “críticas” no padrão CVSS caíram 47% no ano passado, atingindo seus níveis mais baixos desde que a BeyondTrust começou a emitir este relatório, há nove anos.
O Windows e o Windows Server tiveram quedas acentuadas no total de vulnerabilidades detectadas, em 40% e 50%, respectivamente, enquanto as vulnerabilidades que afetam os navegadores Microsoft Edge e Internet Explorer atingiram um recorde.
Ajudando na análise mais recente está a mudança da Microsoft para o sistema de pontuação de vulnerabilidade comum do NIST, que permite aos pesquisadores fazer referência cruzada de falhas de segurança mais diretamente com bugs no ecossistema externo.
O tipo mais comum de vulnerabilidade visto em 2021 envolveu a elevação de privilégios, em que um invasor obtém direitos de administrador em um sistema por meios ilícitos. Um total de 588 dessas vulnerabilidades foram descobertas em 2021. Os pesquisadores da BeyondTrust creditam uma adesão mais ampla às boas práticas de segurança para esse aumento – perversamente, uma diminuição geral de usuários com privilégios administrativos desnecessários ajudou a concentrar os esforços dos maus atores nas tentativas de obter privilégios elevados em jeitos diferentes.
“Sem acesso fácil a usuários com direitos de administrador local, os invasores começaram a inovar para obter privilégios elevados que podem ser usados para comprometer sistemas, roubar credenciais e mover-se lateralmente”, disse o relatório.
O segundo tipo mais comum de vulnerabilidade centrava-se na execução remota de código, o que é particularmente perigoso, pois os ataques direcionados a essas falhas podem ser conduzidos remotamente, com pouca ou nenhuma interação do usuário necessária. Um total de 326 dessas vulnerabilidades foram encontradas em 2021, 35 das quais com classificação 9.0 ou superior na escala CVSS.
“Com esse tipo de risco, uma exploração viável não é uma questão de ‘existe uma exploração’, mas sim de ‘quando ela estará disponível publicamente'”, disse o relatório da BeyondTrust.
O relatório também revelou vulnerabilidades nos principais produtos da Microsoft, incluindo Azure, Windows e Microsoft Office. Este último viu apenas uma vulnerabilidade crítica, em comparação com um total de 66 encontrados em 2021, enquanto os mesmos números para Azure e Dynamics 365 foram sete e 44, respectivamente.
Os pesquisadores da BeyondTrust elogiaram os esforços consistentes da Microsoft para manter o Azure seguro e elogiaram um “declínio constante” nas vulnerabilidades do Office. Da mesma forma, o próprio sistema operacional Windows teve uma queda de 40% no total de vulnerabilidades em 2021 em relação ao ano anterior, com uma queda de 50% nas falhas críticas de segurança.
