Embora o número total de vulnerabilidades registradas da Microsoft tenha sido maior do que nunca em 2022, o número de falhas críticas caiu para o ponto mais baixo, de acordo com o último relatório de vulnerabilidade da Microsoft da BeyondTrust. Segundo o levantamento, no ano passado, apenas 6,9% das vulnerabilidades da Microsoft foram classificadas como críticas — menos da metade do número registrado em 2020.
Vulnerabilidades categorizadas como críticas são aquelas com características que tornam sua exploração um evento de segurança potencialmente de alto impacto. “Essa tendência indica que, embora as vulnerabilidades tenham aumentado de modo geral, os riscos e os piores cenários associados a essas vulnerabilidades diminuíram em relação aos anos anteriores”, diz a BeyondTrust.
Os números também mostram que, embora a superfície de ataque da Microsoft esteja se expandindo junto com o crescimento dos negócios da empresa, a fabricante de software está fazendo um trabalho melhor ao minimizar os tipos mais perigosos de erros de desenvolvimento. Entretanto, à medida que as vulnerabilidades críticas diminuem, os invasores podem precisar encadear explorações menos graves para obter a execução do código, elevar seus privilégios de sistema e mover-se pelas redes das vítimas, diz a BeyondTrust na 10ª edição de seu relatório.
A técnica de encadeamento, no entanto, oferece às equipes de segurança mais pontos potenciais por meio dos quais podem detectar, interceptar e mitigar uma violação. “Se um invasor precisa encadear três ou mais vulnerabilidades para atingir seu objetivo, basta mitigar ou corrigir uma delas para quebrar a cadeia”, observa o documento. Por outro lado, a empresa de cibersegurança diz que explorações bem-sucedidas contra sistemas da Microsoft também exigirão um nível mais alto de habilidade do invasor, o que pode reduzir o número de possíveis ataques.
No ano passado, a Microsoft identificou 715 vulnerabilidades de elevação de privilégio, um aumento de 22% em relação a 2021 e um aumento de 689% em relação a 2017. É um ponto de dados crucial: o objetivo de um invasor é fazer com que seu código seja executado e ele quer para poder executar com privilégios suficientes para permitir um ataque bem-sucedido.
“Para atingir esse objetivo, os invasores precisam ter execução remota de código, capacidade de iniciar seu código em um sistema de destino e elevação de privilégio para garantir que esse código seja executado com prerrogativas suficientes”, explica o relatório.
Vulnerabilidades do Office diminuem
Os aplicativos do Office experimentaram uma queda de 45% nas vulnerabilidades no ano passado, embora as falhas críticas no pacote de software tenham aumentado de uma em 2021 para duas instâncias em 2022. “Embora haja uma tendência geral de queda no número de vulnerabilidades do Office, os aplicativos do pacote continuam sendo um alvo para os operadores de ameaças. Isso se deve em grande parte aos tempos de atraso entre a descoberta e a correção”, diz a BeyondTrust.
A tendência de queda nas vulnerabilidades também pode ser atribuída aos esforços da Microsoft para cortar vetores de ataque comuns, como macros VBA (Visual Basic for Applications) em documentos, que foram entregues pela internet. Este é um vetor de ataque comum, mas as tentativas anteriores de mitigação foram apenas blocos suaves que são facilmente contornados pela engenharia social do usuário final para habilitar macros. No ano passado, a Microsoft bloqueou as macros da internet por padrão nos aplicativos do Office.
Veja isso
Dia zero: Microsoft, Google e Apple são os alvos nº 1 de hackers
Microsoft alerta sobre exploração de dia zero no Outlook
A Microsoft também tem investido pesadamente na OpenAI, desenvolvedora do ChatGPT, desde 2019 e tem planos de integrar a IA em vários de seus produtos. O ChatGPT já está sendo incorporado ao mecanismo de busca da Microsoft, o Bing, com a esperança de finalmente torná-lo um concorrente de buscas do Google mais forte.
No entanto, o uso extensivo de IA também pode introduzir novos tipos de vulnerabilidades, alerta a BeyondTrust. “A IA aprende com conjuntos de dados geralmente vastos e expande fundamentalmente as entidades que podem ser usadas para explorar um sistema”, diz a empresa.
Os sistemas AI podem ser vulneráveis à manipulação e exploração por hackers, que podem usá-los para realizar ataques cibernéticos ou obter acesso não autorizado a informações confidenciais. “À medida que o cenário da tecnologia continua em sua próxima fase de evolução, os números das vulnerabilidades devem continuar a subir, novas ameaças continuarão a sair do ciber-éter”, diz a BeyondTrust.
