Pour la neuvième année consécutive, Beyond Trust publie son rapport sur les vulnérabilités Microsoft 2022 alors que RSSI et DSI sont de plus en plus exaspérés par l’augmentation du nombre de failles.

« Malgré des progrès inégaux, le paysage demeure maqué par des vulnérabilités élevées »… Ainsi démarre le neuvième rapport BeyondTrust sur les vulnérabilités critiques de l’univers Microsoft. Un constat amer alors que le groupe investit lourdement dans la cybersécurité et se veut l’un des principaux éditeurs de solutions de cyber-résilience.

On le sait, depuis plusieurs mois, RSSI et DSI ne cachent plus leur exaspération face à l’accroissement du nombre de failles de sécurité et la difficulté de maintenir leurs systèmes à jour et bien défendus. En début d’année le CIGREF est monté au créneau pour disposer de certifications autour de la sûreté des logiciels, expliquant que l’effort de patching était devenu trop lourd. Et le CESIN appelait, lui, les responsables politiques à en finir avec « l’afflux de logiciels vulnérables » et « une escalade qui n’est plus supportable ».

Et il n’est pas certain que le nouveau rapport BeyondTrust contribue significativement à calmer leur colère.

Pourtant, ce neuvième rapport témoigne que les choses vont plutôt mieux du côté Microsoft. En effet :

> le nombre de vulnérabilités découvertes en 1 an baisse de 5% pour s’afficher à 1.212 vulnérabilités dévoilées. *

> Le nombre de vulnérabilités critiques chute de 47% en un an  (il passe de 196 à 104)!

> Le nombre de vulnérabilités Windows chute également de 40% (il passe de 907 à 507)

> Le nombre de vulnérabilités critiques sur Windows Server a été divisé par deux.

Le problème, comme le souligne le rapport, ce n’est pas tant le nombre de vulnérabilités qui compte mais l’impact potentiel de celles qui demeurent…

Top des vulnérabilités

Pour la seconde année consécutive, les principales menaces de l’univers Microsoft tombent dans la catégorie très critique des « élévations de privilège ». Sur les 1.212 vulnérabilités découvertes cette année, 588 étaient de ce type ! Un record !

Les vulnérabilités de type « Remote Code Exécution » (qui permettent l’exécution de codes malveillants à distance) sont au nombre de 326. Parmi elles, 35 étaient classées comme véritablement critiques.

Top des vulnérabilités MICROSOFT en 2022

Des vulnérabilités critiques plus rares…

Dans l’univers Microsoft, ce sont surtout les vulnérabilités des navigateurs Web, d’Office et de Windows qui retiennent l’attention. Comme le souligne le rapport, « les vulnérabilités dans Azure et Dynamics 365 sont restées constamment faibles au cours des deux dernières années. En 2021, Azure représentait globalement 30 vulnérabilités, dont 5 critiques. En 2020, Dynamics 365 représentait 6 vulnérabilités critiques, mais n’en compte que 2 en 2021 ».

Côté navigateur, l’abandon de IE en 2022 impacte positivement les résultats. Désormais, l’univers « navigateurs » de Microsoft est focalisé sur Edge dont le code découle directement du Chromium de Google. La grande majorité des vulnérabilités découvertes sont donc communes aux deux navigateurs concurrents. Pour les cybercriminels, c’est une opportunité d’autant que le navigateur reste le talon d’Achille de tout système de par sa position frontale et sa surface d’attaque.
Ainsi sur les 349 vulnérabilités découvertes à la fois dans IE et dans Edge en 2021, 308 sont en réalité des vulnérabilités Chromium.
Et pour le coup, ce score de 349 vulnérabilités pour les navigateurs Microsoft est un nouveau « plus haut » depuis les 9 dernières années. Mais, et c’est là la bonne nouvelle, seulement 6 vulnérabilités étaient classées « critiques » ce qui constitue un nouveau « plus bas ». Jamais aussi peu de vulnérabilités critiques n’avaient été découvertes en un an sur les navigateurs estampillés Microsoft.

Côté Windows, aussi, il y a des records bons à prendre : seulement 65 vulnérabilités critiques ont été découvertes en 2021, le chiffre le plus bas depuis 9 ans. Au total, le nombre de vulnérabilités Windows a été réduit de presque moitié cette année.

Des vulnérabilités Windows en décroissance notable!

Il en va de même de Windows Server qui voit le nombre de vulnérabilités baisser de 41% et le nombre de vulnérabilités critiques de 50%.

Enfin, le rapport constate que le nombre de vulnérabilités dans Office n’a cessé de décliner ces cinq dernières années. Sur les 66 failles découvertes en 2021, une seule était critique. Toutefois le rapport rappelle qu’Office est l’un des outils les plus déployés pour lesquels les entreprises sont les moins attentives à déployer les patchs de sécurité. Nombre d’attaques Office constatées en 2021 s’appuyaient sur une faille (la CVE-2017-11882) pourtant patchée en novembre 2017.

Au final, le rapport montre que la situation du côté Microsoft n’est pas pire qu’avant et qu’elle est même orientée vers une notable amélioration. On est encore très loin d’une situation idéale mais la situation dépeinte par BeyondTrust va finalement à contrario de celle décrite par les RSSI même si celle-ci est d’abord l’expression d’un ras-le-bol accumulé par des années de bataille contre les failles des grands éditeurs. On verra si ce mieux constaté à l’occasion de cette neuvième édition persistera l’an prochain à l’occasion de la dixième édition.