Surtout, les vulnérabilités les plus couramment corrigés n'étaient pas toujours les plus exploitées. Les défauts d'exécution du code à distance représentaient 40% des vulnérabilités, mais ne représentaient que 19% des exploits. En revanche, l'élévation des bogues de privilèges (EOP) – qui peuvent être moins visibles mais souvent plus dangereuses – étaient les plus exploitées, représentant 38% des attaques du monde réel.
«Avec plus de 1 000 vulnérabilités corrigées et des millions de menaces associées bloquées, une chose est claire: le correctif seul ne suffit pas», explique Douglas McKee, directeur exécutif de la recherche sur les menaces chez Sonicwall. «Les attaquants se déplacent plus rapidement que jamais pour exploiter les chemins qui fournissent le plus de récompenses et de moindre résistance.»
Les vulnérabilités les plus courantes ne sont pas les plus exploitées
Le rapport de Sonicwall indique que, dans la nature, les pirates affluent vers ce qui fonctionne. Par exemple, les méthodes de contournement des fonctionnalités de sécurité ne représentaient que 8% des vulnérabilités connues mais représentaient 29% des exploits.
Ces chiffres rappellent que le volume seul ne peut pas guider les priorités de correction. Au lieu de cela, les organisations de soins de santé devraient également être guidées par la façon dont les attaquants se comportent dans le monde réel.
La gravité de la vulnérabilité n'est pas toujours ce qu'elle semble
Par volume, les vulnérabilités d'exécution de code distantes étaient les plus courantes. Ils représentaient également 77% des vulnérabilités les plus critiques. Mais être la catégorie de vulnérabilité la plus courante et la plus critique ne les a pas rendues les plus susceptibles d'être exploitées.
Par exemple, les défauts de contournement des fonctionnalités de sécurité étaient moins courants et moins critiques en gravité que les vulnérabilités d'exécution de code distantes. Cependant, les données de Sonicwall ont révélé qu'elles étaient fréquemment utilisées pour aider les attaquants à intensifier l'accès ou à désactiver les outils de sécurité, et ces actions peuvent transformer une vulnérabilité modérée en un exploit avec des conséquences critiques.
Sonicwall a également noté que Microsoft avait étiqueté 123 vulnérabilités comme «l'exploitation plus probable» en 2024, ce qui est un indicateur important pour la cyberdéfense. Cependant, seulement 10 d'entre eux ont atteint le catalogue exploité des vulnérabilités de la Cybersecurity and Infrastructure Security Agency. Deux de ces 10 avaient été étiquetés «l'exploitation moins probable», démontrant que même les meilleures prédictions peuvent être annulées par un comportement cybercriminal réel.
Les défenses en couches et proactives sont devenues obligatoires
Le paysage de la vulnérabilité de Microsoft 2024 reflétait la variété et la volatilité des cyber-états sur le volume. Le correctif est et sera toujours important, mais trouver comment hiérarchiser les correctifs devient plus compliqué.
«Les organisations ont besoin d'une approche plus intelligente et plus rapide, qui mélange la détection et la réponse en temps réel avec des défenses en couches sur chaque surface d'attaque», explique McKee. Il a signalé ce qui suit comme priorités:
- Identifier les tentatives sophistiquées d'escalade des privilèges
- Neutraliser les logiciels malveillants cachés dans des documents de bureau
- Bloquer les exploits avant d'atteindre les utilisateurs
- Avoir des protections intégrées sur les points de terminaison, les comptes de messagerie et les réseaux
«Les organisations qui investissent dans une sécurité coordonnée et axée sur le renseignement ne suivent pas seulement le rythme des menaces, ils les attendent», dit-il. «Cela peut souvent faire la différence.»
