Microsoft, en son Microsoft güvenlik açıkları raporuna göre, 2024’te rekor 1.360 güvenlik açığı bildirdi. Hacim, 2022’deki önceki rekordan% 11’lik bir artışa işaret ediyor ve pandemik sonrası daha geniş bir eğilim içine uyuyor: daha fazla güvenlik açığı, daha fazla ürün ve daha karmaşık ekosistemler.
Ancak CISOS için daha anlatılan metriklerden biri sadece kaç hata bulunduğu değil, ne kadar tehlikeli oldukları. Bu bağlamda, veriler bazı iyi haberler sunuyor. Kritik güvenlik açıklarının sayısı, bir yıl önce 84’ten ve 2020’de günlüğe kaydedilen 196’nın yarısından daha azından 2024’te 78’e düştü. Rapor başlamasından bu yana en düşük kritik sayı.
Anahtar Riskler
Kritik kusurlar – kullanıcı girişi olmadan kod yürütmeyi mümkün kılanlar – vahşi doğada sömürülme olasılığı en yüksek olanlardan biridir. Devam eden düşüşleri Microsoft’un geliştirme boru hattı ve mimarisindeki iyileştirmelere işaret ediyor.
Bununla birlikte, tüm kategoriler aynı eğriyi takip etmedi. Ayrıcalık (EOP) güvenlik açıkları toplamın% 40’ını oluşturdu. Uzaktan Kod Yürütme (RCE) geride kaldı. Her ikisi de saldırganlar için en önemli hedefler olmaya devam ediyor.
BeyondTrust Field CTO James Maude, “Bu yılki veriler, tehdit manzarasının yavaşlamadığına dair açık bir hatırlatma sunuyor – hızla gelişiyor” dedi.
“Ayrıcalık güvenlik açıklarının yüksekliğinin sürekli baskınlığı, saldırganlara ne kadar değerli ayrıcalıkların ne kadar değerli olduğunu ve neden yanal hareket etme ve kritik sistemlere erişim elde etmek için ayrıcalıkları hedeflemeye devam edeceklerini vurgulamaktadır. Bu eğilimler, kuruluşların her bir kimliğe ve çevrelerine yönelik alt yolları azaltma ihtiyacını güçlendirir, aynı zamanda her bir kimlik ve çevrelerindeki alt yolları azaltma gereksinimini korumaktadır”.
Bu güvenlik açıkları, saldırganların, kuruluşların çevrelerinde en az ayrıcalığı uygulamak konusunda daha fazla kontrol uyguladıkları için güvendikleri önemli bir mekanizmadır. Bir tehdit oyuncunun ayrıcalığa erişimini azaltabiliyorsanız, sömürü durumunda “patlama yarıçapını” azaltırsınız.
Siber risk fırsatlarında Ciso Kip Boyle gibi şunları söyleyin: “Ayrıcalık yüksekliği fidye yazılımı operatörleri için altın bilet. Saldırganlar idari ayrıcalıklar kazandıktan sonra, oyun kitaplarının en yıkıcı kısmını yürütebilirler.”
Sürekli iyileştirmeler gören Microsoft Edge bu eğilimi kırdı. 292 güvenlik açıkına atladı – dokuzu kritik olan, bir önceki yıla göre. Bunların çoğu, kodun tarayıcı sanal alanından kaçmasına izin verdi, esasen tarayıcıyı yanal hareket için bir ağ geçidine dönüştürdü. CISA, Ekim 2024’te çoklu kenar kusurları için nadir bir danışma uyarısı yayınladı.
Microsoft Office kuruluşlar için büyük bir güvenlik ağrı noktasıydı. Kötü niyetli kimlik avı belgeleri, ortak güvenlik açıklarından yararlandı veya bir kullanıcıyı bir belgeyi açmaya ve yerleşik özellikleri hain amaçlar için kötüye kullanmak için makroların çalışmasına izin verdi.
Microsoft Office güvenlik açıkları keskin bir şekilde yükseliyor
Ofis ayrıca, geçen yılki düşüşü tersine çevirerek toplam güvenlik açıklarında% 24’lük bir sıçrama gördü. Bu arada, Azure ve Dynamics 365 de toplam kusurlarda% 14 artış gördü. Bir göze çarpan: Microsoft Copilot Studio’da saldırganların erişim belirteçlerini almasına ve dahili bulut kaynaklarına bağlanmasına izin veren bir SSRF hatası.
Yama gerekli, ancak yeterli değil. Sistem düzeyinde erişim için sömürülen bir CLFS sürücü kusuru olan CVE-2024-49138 dahil olmak üzere birkaç sıfır gün, katmanlı savunma ihtiyacını vurgulamaktadır.
2025’te Microsoft’un yamaların ve güncellemelerin kalitesi ve istikrarına güvenmesi hayati önem taşıyacaktır. Bu, kuruluşların yamayı rahat dağıtma hızını artırmak için gereklidir.
CQure CEO’su Paula Januskiewicz, “2025 için bir paket varsa,” dedi, “Proaktif tehdit avı ve en az ayrıcalık ön ve merkez olmalı.”
2023’ün sonlarında başlatılan Microsoft’un Güvenli Gelecek Girişimi (SFI), geliştirme boyunca güvenliğe öncelik verdiğini iddia ediyor. Bazı SFI kilometre taşları, kullanılmayan uygulamaları aşamalı olarak ve kimlik avına dirençli kimlik bilgilerini genişletmeyi içerir. Yine de, uzmanlar erken sonuçlara çok fazla okumaya karşı uyarıyorlar.
Toplam güvenlik açıkları sayısı artmış olsa da, uzun vadeli eğilim, büyümenin hızının stabilize olduğunu göstermektedir. Bu, daha az kritik güvenlik açıklarına doğru devam eden düşüş eğilimi ile birleştiğinde, Microsoft’un güvenlik girişimleri ve modern işletim sistemlerinin güvenlik mimarisindeki iyileştirmelerin işe yaradığını gösteriyor.
Google Cloud danışmanı Anton Chuvakin, “Güvenlik açıkları ekmek kırıntılarıdır” dedi. “Sadece kötü kod değil, başarısızlıkları işlemeye işaret ediyorlar.”
Bu rapor 2024’e bakarken, 2025 Salı günü ilk yamanın 2017’den bu yana en büyüğü olduğunu ve 8 sıfır günlük güvenlik açıkları da dahil olmak üzere 159 güvenlik açıkını kapsadığını belirtmek gerekir.
Sadece mümkün olduğunca çabuk yamaya değil, aynı zamanda diğer hafifletmeler yoluyla mümkün olan en iyi güvenlik duruşuna sahip olduğumuzdan emin olmak için-en az ayrıcalık, sıfır güven ve sistemlere tam zamanında erişim-bu sıfır gün çaldığında patlama yarıçapını en aza indiriyoruz.