Nota: O seguinte artigo irá ajudá-lo com: Vulnerabilidades críticas da Microsoft diminuíram 47% em 2021
Apenas 104 vulnerabilidades críticas foram relatadas em 2021, uma baixa histórica para a maior empresa de software do mundo.
As vulnerabilidades gerais em todos os produtos da Microsoft diminuíram 5% em 2021, de acordo com o relatório anual BeyondTrust Microsoft Vulnerabilities 2022. Embora alguns produtos, como o Internet Explorer e o Microsoft Edge, tenham visto um aumento no número geral de vulnerabilidades, o menor número de vulnerabilidades da Microsoft foi considerado crítico.
Essa tendência também vale para Windows, Windows Server, Microsoft Office, Azure Cloud e Dynamics365, a solução ERP da Microsoft.
Para criar o relatório de vulnerabilidades da Microsoft, os autores revisaram todos os boletins de segurança da Microsoft do ano anterior para fornecer um barômetro do cenário de ameaças para o ecossistema da Microsoft.
VEJO: Comandos do Windows, Linux e Mac que todos precisam saber (PDF grátis) (TechRepublic)
O número de vulnerabilidades em outras categorias, como corrupção de memória, estouro e script entre sites, também caiu significativamente em todos os produtos da Microsoft entre 2020 e 2021.
Pelo segundo ano consecutivo, a elevação de privilégios ultrapassou a execução remota de código como a categoria de segurança com mais vulnerabilidades registradas.
“À medida que analisamos os dados deste ano, podemos ver a tendência de queda contínua em vulnerabilidades críticas”, disse James Maude, pesquisador líder de segurança cibernética da BeyondTrust, fornecedora de gerenciamento de privilégios e segurança na nuvem. “Simplificando, esse investimento tornou significativamente mais difícil para um invasor saltar de uma vulnerabilidade do navegador para o controle total do sistema em um movimento.”
Vulnerabilidades em produtos da Microsoft
Vulnerabilidades do Internet Explorer e do Edge
Em 2021, houve um recorde de 349 vulnerabilidades no Internet Explorer e Edge, quase quatro vezes o número em 2020, embora apenas seis tenham sido consideradas críticas.
Esse aumento repentino foi devido à consolidação do mercado de navegadores (com o Edge adotando a tecnologia de navegador Chrome do Google), menos plugins de navegador como o Adobe Flash para atacar e maior transparência nos relatórios de vulnerabilidades do Google, segundo o relatório.
Vulnerabilidades do Windows
Em 2020, havia 507 vulnerabilidades nos sistemas operacionais Windows 7, Windows RT, Windows 8/8.1 e Windows 10. Sessenta das vulnerabilidades do sistema operacional Windows 10 foram consideradas críticas. No geral, as vulnerabilidades do Windows caíram 40% em relação a 2020 e 50% nos últimos cinco anos.
“A postura mais agressiva da Microsoft na atualização do Windows também está se traduzindo em uma redução na quantidade de tempo que os sistemas ficam expostos ao risco de vulnerabilidades”, disse o relatório. “Esta combinação de dois golpes de menos vulnerabilidades e correções mais rápidas é um progresso bem-vindo após as pressões implacáveis de 2020.”
Vulnerabilidades do Microsoft Office
Das 66 vulnerabilidades do Office relatadas, apenas uma foi considerada crítica. Embora isso seja uma boa notícia, os aplicativos do Office ainda são vulneráveis a explorações mais antigas, como o bug do Equation Editor, embora os patches estejam disponíveis há anos.
“Muitos kits de ferramentas de malware contêm inúmeras explorações do Office agregadas nos últimos 10 anos, com o objetivo de encontrar um sistema sem patches”, disse o relatório. “Esses kits de ferramentas e estratégias provaram ser altamente bem-sucedidos para muitos atores de ameaças.”
Vulnerabilidades do Windows Server
As vulnerabilidades do Windows Server caíram para seus níveis mais baixos desde 2018, segundo o relatório. Ano após ano, o número de vulnerabilidades do Windows Server diminuiu 41%, enquanto as vulnerabilidades críticas caíram 50% em relação a 2020.
“A Microsoft levou várias gerações do Windows Server para chegar a uma versão inerentemente mais segura”, disse o relatório. “As versões mais recentes do Windows Server têm menos vulnerabilidades do que nunca, apesar de serem algumas das maiores bases de código para qualquer sistema operacional.”
Vulnerabilidades do Azure e do Dynamics 365
Das 30 vulnerabilidades no Azure, apenas cinco foram consideradas críticas. O Dynamics 365 teve seis vulnerabilidades críticas em 2020.
O relatório apontou três vulnerabilidades como particularmente problemáticas:
- Vulnerabilidade de execução remota de código do Microsoft Exchange Server (CVE-2021-28480 e CVE-2021-28481)
- Vulnerabilidade de execução remota de código do servidor DNS do Windows (CVE-2021-34473, CVE-2021-26894, CVE-2021-26895 e CVE-2021-26897)
- Vulnerabilidade de execução remota de código do Microsoft Defender para IoT (CVE-2021-42311 e CVE-2021-4231)
