Le nombre total de vulnérabilités Microsoft a battu des records, avec 1 292 failles détectées, mettant en évidence un niveau de menace et d'impact arrivé à son plus haut niveau.
BeyondTrust, l'entreprise spécialisée dans la gestion intelligente des identités et de la sécurité des accès, revient cette semaine sur l'un des chiffres marquants de cette première partie d'année, à savoir le nombre total de vulnérabilités Microsoft révélées pour la seule année 2022. Et il est colossal, puisque la firme à la fenêtre a dénombré 1 292 failles. Cette donnée est issue du Microsoft Vulnerability Report et est la plus haute jamais enregistrée par BeyondTrust, qui publie son étude sur les vulnérabilités du géant américain pour la dixième année. Comment doit-on interpréter ce nombre ?
Les attaques par élévation des privilèges au plus haut chez Microsoft en 2022
Au-delà de la masse relativement impressionnante des failles détectées, c'est davantage le niveau de menace et la puissance d'impact de chacune des vulnérabilités qui inquiètent les experts. Rappelons d'abord qu'au moment de révéler ses vulnérabilités, Microsoft, qui présente chaque semaine de nouvelles failles avec un lot de correctifs lors du traditionnel Patch Tuesday, les regroupe dans plusieurs catégories :
- l'exécution de code à distance ;
- l'élévation de privilèges ;
- le contournement des fonctions de sécurité ;
- la falsification ;
- la divulgation d'informations ;
- le déni de service (DDoS) ;
- et l'usurpation.
Concernant l'élévation de privilèges, il s'agit de la catégorie de vulnérabilités majeure chez Microsoft, et ce, pour la troisième année consécutive. Ces attaques, qui permettent d'obtenir un accès privilégié non autorisé à un système, peuvent causer des dégâts majeurs, jusqu'au ransomware. Elles pèsent à elles seules 55 % des vulnérabilités identifiées en 2022 par Microsoft, soit 715 au total.
Les vulnérabilités augmentent régulièrement depuis 10 ans
Savez-vous quel est le point commun, ou plutôt les deux points communs de Microsoft Azure et Dynamics 365 ? Ils sont à la fois les deux produits qui génèrent le plus de revenus au sein de l'entreprise américaine, et aussi parmi ceux qui totalisent le plus de vulnérabilités. Elles ont d'ailleurs progressé de 159 % entre 2021 et 2022, passant de 44 à 114. Le navigateur Microsoft Edge a quant à lui été associé à 311 vulnérabilités, dont 49 critiques.
Au-delà de ça, on compte 6,9 % de failles critiques parmi les vulnérabilités Microsoft détectées en 2022, une proportion heureusement moins importante que par le passé (44 % en 2013). Le signal est aussi positif du côté de la suite Office, pour laquelle les vulnérabilités sont au plus bas depuis 5 ans, avec 36 failles seulement l'an dernier.
« Voilà 10 ans que nous assistons à l'augmentation du nombre élevé des vulnérabilités Microsoft », constate James Maude, Lead Security Researcher chez BeyondTrust. Si les failles sont en forte hausse depuis 10 ans, tout n'est pas négatif, comme nous le disions. Une lueur d'espoir se dégage même, selon l'entreprise cyber : « L'instauration du principe de moindre privilège s'avère tout aussi efficace pour les systèmes cloud et les dispositifs IoT d'aujourd'hui que pour les systèmes antérieurs, dont certains sont toujours en service. »
