本站 4 月 16 日消息,网络安全公司 BeyondTrust 昨日(4 月 15 日)发布报告,称 2024 年微软产品漏洞数量共计 1360 个,相比较此前纪录(2022 年创造,1292 个),再增加 11%。
本站援引报告内容,权限提升(EoP)漏洞占据 40%,成为攻击者最青睐的攻击方式;安全功能绕过漏洞更是暴增 60%,从 2023 年的 56 个增至 2024 年的 90 个。
报告还指出,2024 年微软 Edge 浏览器漏洞总数达 292 个,增长 17%,其中包括 9 个关键漏洞,而 2022 年这一数字为零。
报告认为微软亟需加强软件设计阶段的安全编码和威胁建模(Threat Modeling),从而减少漏洞产生。
尽管挑战严峻,微软生态系统的关键漏洞在 2024 年持续下降,显示出微软安全举措和现代操作系统安全架构的改进成效。微软 Azure 和 Dynamics 365 的漏洞数量趋于稳定,漏洞增长速度也有所放缓。
BeyondTrust 的首席技术官 James Maude 表示:“今年的数据清楚提醒我们,威胁形势并未减缓,反而在快速演变。权限提升漏洞的持续主导地位表明,攻击者高度重视权限价值,他们会继续瞄准有权限的身份以横向移动并访问关键系统。”
他强调,单纯依赖补丁(Patches)不足以解决问题,补丁可能失效或带来稳定性风险。组织必须聚焦权限路径安全,构建多层防御,减少每个身份和访问点的攻击面,以应对攻击者不断创新的绕过防御手段。
