Por Jon Gold
O número total de vulnerabilidades da Microsoft relatadas em 2021 caiu 5%, revertendo uma tendência de cinco anos que viu essas vulnerabilidades a aumentar acentuadamente, de acordo com um novo relatório do fornecedor de gestão de identidade e segurança BeyondTrust.
Um total de 1.212 novas vulnerabilidades foram descobertas em 2021, mas a sua gravidade, bem como a sua localização na família de produtos de software da Microsoft, mudou substancialmente ano após ano. As vulnerabilidades classificadas como “críticas” no padrão CVSS caíram 47% no ano passado, atingindo os seus níveis mais baixos desde que a BeyondTrust começou a emitir este relatório, há nove anos.
Vulnerabilidades no Windows, queda do Windows Server
O Windows e o Windows Server tiveram quedas acentuadas no total de vulnerabilidades detetadas, em 40% e 50%, respetivamente, enquanto as vulnerabilidades que afetam os navegadores Microsoft Edge e Internet Explorer atingiram um recorde.
A ajudar na análise mais recente está a mudança da Microsoft para o sistema de pontuação de vulnerabilidade comum do NIST, que permite aos investigadores fazer referência cruzada de falhas de segurança mais diretamente com bugs no ecossistema externo.
O tipo mais comum de vulnerabilidade visto em 2021 envolveu a elevação de privilégios, em que um invasor obtém direitos de administrador num sistema por meios ilícitos. Um total de 588 dessas vulnerabilidades foram descobertas em 2021. Os investigadores da BeyondTrust creditam uma adesão mais ampla às boas práticas de segurança para esse aumento – perversamente, uma diminuição geral de utilizadores com privilégios administrativos desnecessários ajudou a concentrar os esforços dos maus atores nas tentativas de obter privilégios elevados em formas diferentes.
Os invasores inovam para obter direitos de administrador
“Sem acesso fácil a utilizadores com direitos de administrador local, os invasores começaram a inovar para obter privilégios elevados que podem ser usados para comprometer sistemas, roubar credenciais e mover-se lateralmente”, disse o relatório.
O segundo tipo mais comum de vulnerabilidade centrava-se na execução remota de código, o que é particularmente perigoso, pois os ataques direcionados a essas falhas podem ser conduzidos remotamente, com pouca ou nenhuma interação do utilizaddor necessária. Um total de 326 dessas vulnerabilidades foram encontradas em 2021, 35 das quais com classificação 9.0 ou superior na escala CVSS.
“Com esse tipo de risco, uma exploração viável não é uma questão de ‘existe uma exploração’, mas sim de ‘quando ela estará disponível publicamente’”, disse o relatório da BeyondTrust.
O relatório também revelou vulnerabilidades nos principais produtos da Microsoft, incluindo Azure, Windows e Microsoft Office. Este último viu apenas uma vulnerabilidade crítica, em comparação com um total de 66 encontrados em 2021, enquanto os mesmos números para Azure e Dynamics 365 foram sete e 44, respetivamente.
Os investigadores da BeyondTrust elogiaram os esforços consistentes da Microsoft para manter o Azure seguro e elogiaram um “declínio constante” nas vulnerabilidades do Office. Da mesma forma, o próprio sistema operacional Windows teve uma queda de 40% no total de vulnerabilidades em 2021 em relação ao ano anterior, com uma queda de 50% nas falhas críticas de segurança.