BeyondTrust 发布了最新的 Microsoft 漏洞数据年度分析报告，剖析了 2023 年 Microsoft 漏洞的数据。并评估了这些漏洞是如何被利用的，以及该如何采取措施来缓解漏洞。

报告发现，2023 年报告的漏洞总数为 1228 个，相较 2022 年的 1292 个略有下降（下降了 5%）。但漏洞总数基本稳定在历史最高水平附近，过去四年（自 2020 年以来）一直保持在 1200 到 1300 个之间。

Integral Partners 身份和访问管理技术总监 David Morimanno 认为：“微软及时修补已知漏洞的努力可能会减少攻击者利用漏洞的机会，从而抵消新漏洞的发现。此外，随着 MS 代码库的成熟，新漏洞出现的速度也可能会变慢。”

目前，Microsoft 严重漏洞（即在 NIST 通用漏洞评分系统中得分为 9.0 或更高的漏洞）总数继续呈下降趋势。 在 2023 年的数量已经减少至 84 个，在 2022 年这一数量为 89 个，2020 年创五年新高为 196 个。

此外，Microsoft Azure 和 Dynamics 365 漏洞在 2022 年经历了一场猛增后，到 2023 年几乎减少了一半，从 114 个减少到 63 个。

2023 年最常见的 Microsoft 漏洞类型包括：

• 特权提升 490 个。
• 远程代码执行 356 个。
• 信息披露 124 个。
• 拒绝服务 109 个。
• 欺骗 (Spoofing) 90 个。
• Security failure bypass 56 个。
• 篡改 (Tampering) 3 个。

值得一提的是，虽然特权提升在 2023 年有 490 个实例是最常见的漏洞，但与 2022 年的 715 个实例相比有了显著下降。远程代码执行漏洞则在 Azure、Office 和 Windows 中有所减少，但在 Windows Server 中有所增加。