La cantidad de vulnerabilidades de Microsoft se ha reducido en su mayor parte en 2023, siendo particularmente comunes la elevación de privilegios y los ataques de identidad, según el informe anual de vulnerabilidades de Microsoft de BeyondTrust. La empresa de soluciones de gestión de acceso e identidad BeyondTrust estudió los CVE más importantes de 2023 y los datos de vulnerabilidad de Microsoft de los boletines mensuales de parches del martes de Microsoft. El informe incluye tendencias de vulnerabilidad y consejos sobre cómo reducir los ataques de identidad. Microsoft informó 1228 vulnerabilidades en 2023 El número total de vulnerabilidades de Microsoft se ha mantenido prácticamente estable durante los últimos cuatro años, con una ligera caída (5%) en 2023 de 1292 a 1228 vulnerabilidades reportadas. Desde un aumento en 2020, el número de vulnerabilidades de Microsoft se ha mantenido entre 1.200 y 1.300. Imagen: BeyondTrust «Los esfuerzos de Microsoft para parchear rápidamente vulnerabilidades conocidas pueden estar compensando el descubrimiento de otras nuevas al reducir la ventana de oportunidad para que los atacantes exploten las vulnerabilidades», dijo a BeyondTrust David Morimanno, director de tecnologías de gestión de identidad y acceso de Integral Partners. «Además, a medida que el código base de MS madura, es posible que se introduzcan nuevas vulnerabilidades a un ritmo más lento». La tasa de vulnerabilidades críticas de Microsoft (es decir, aquellas con una puntuación de 9,0 o superior en el Sistema de puntuación de vulnerabilidad común del NIST) se ha ralentizado. Hubo 84 vulnerabilidades críticas de Microsoft en 2023, en comparación con 89 en 2022 y un máximo de cinco años de 196 en 2020. Cómo se clasifican las vulnerabilidades de Microsoft Microsoft tiene su propio sistema de clasificación de gravedad distinto del NIST, que producirá números ligeramente diferentes. Por ejemplo, 33 vulnerabilidades de Microsoft de 2023 se clasificaron como críticas en el sistema de puntuación del NIST, pero la propia Microsoft clasificó 84 vulnerabilidades en 2023 como críticas. El sistema de clasificación de Microsoft todavía refleja la tendencia general de una ligera disminución de las vulnerabilidades año tras año, mostrando una disminución de las vulnerabilidades graves del 6%. BeyondTrust señaló que no todas las vulnerabilidades registradas de Microsoft representan un riesgo significativo; algunos son en su mayoría teóricos o tendrían un impacto mínimo incluso si fueran explotados. Sin embargo, algunas serían gravemente perjudiciales para una organización si se explotaran, y estas son las que Microsoft tiende a clasificar como críticas, independientemente de que un actor de amenazas haya explotado activamente la vulnerabilidad o no. Los tipos más comunes de vulnerabilidades de Microsoft Los tipos de vulnerabilidades más comunes en 2023 fueron: Elevación de privilegios (490). Ejecución remota de código (356). Divulgación de información (124). Denegación de servicio (109). Suplantación de identidad (90). Bypass de fallo de seguridad (56). Manipulación (3). Entre las vulnerabilidades catalogadas como críticas, la mayoría se encontraron en las categorías de escritorio y servidor de Windows. Estas dos categorías tienen la misma base de código, por lo que no sorprende que sus números sean similares. Aunque la elevación de privilegios fue la vulnerabilidad más común, con 490 instancias en 2023, fue una disminución significativa con respecto a las 715 instancias en 2022. Azure y Windows Server en particular vieron muchas menos vulnerabilidades de elevación de privilegios. VER: Microsoft abrió recientemente el acceso general a Security Copilot, el complemento de IA generativa para su conjunto de productos de seguridad. (TechRepublic) Las vulnerabilidades de ejecución remota de código disminuyeron en Azure, Office y Windows, pero aumentaron en Windows Server. Los detalles sobre qué tipos de vulnerabilidades surgieron en qué productos de Microsoft y cuándo se pueden encontrar en el informe completo. Cobertura de seguridad de lectura obligada Los actores de amenazas se centran en técnicas de infiltración basadas en identidades “A medida que el número total de vulnerabilidades de Microsoft se estabiliza y el número de vulnerabilidades críticas disminuye, vemos que los atacantes, al igual que el agua, fluirán hacia el camino de menor resistencia y concentración. «Prestan mucha más atención a las identidades», afirma el informe. Microsoft sufrió el ataque Midnight Blizzard, una infracción patrocinada por el estado que puede haber afectado a las agencias federales de EE. UU. debido a la infiltración basada en identidades habilitada mediante la pulverización de contraseñas. «Midnight Blizzard fue otro caso del dicho popular: ‘Los atacantes no entran, inician sesión'», dijo a BeyondTrust en el informe Jay Beale, director ejecutivo y director de tecnología de la empresa de consultoría de TI InGuardians, Inc. La infiltración basada en la identidad es tan simple como que un atacante obtenga de alguna manera información de inicio de sesión legítima. Los riesgos de identidad pueden ser difíciles de identificar de antemano y pueden surgir en cualquiera de las siguientes maneras: El proceso de incorporación, mudanza y salida. Permisos, derechos, privilegios y roles de usuario. Autenticación de derechos, como autenticación multifactor o inicio de sesión único. Autorización para identidades y cuentas en reposo y operativas durante el tiempo de ejecución. Los defensores deberían comenzar a pensar de manera más integral sobre los privilegios, la higiene de la identidad y la detección de amenazas a la identidad para detectar más ataques de infiltración basados ​​en la identidad, aconseja el informe. «Fomentar una cultura de concienciación y educación entre todos los usuarios es crucial», dijo a BeyondTrust Paula Januszkiewicz, directora ejecutiva de CQURE. “A diferencia del hacking, que suele ser un trabajo solitario, la ciberseguridad es inherentemente un esfuerzo colaborativo. Esta perspectiva, de la que se hace eco el informe, destaca la importancia de un enfoque de la ciberseguridad centrado en las personas”. Por qué están disminuyendo las vulnerabilidades de Microsoft BeyondTrust enumeró algunas posibles razones por las que los riesgos para los productos de Microsoft están disminuyendo gradualmente. Los ciclos de actualización continúan y finalmente eliminan gradualmente el código olvidado hace mucho tiempo que podría no ser compatible y tener hasta 20 años. En particular, los productos fabricados antes de que Microsoft instituyera el ciclo de vida de desarrollo de seguridad en 2004 se están eliminando por completo. Los esfuerzos de seguridad a largo plazo de Microsoft pueden estar dando sus frutos. Las tecnologías de la nube han madurado y ahora pueden protegerse de forma más eficaz. BeyondTrust atribuyó parte del éxito en la disminución de las vulnerabilidades a la mayor colaboración de Microsoft con su comunidad de investigación de seguridad. En particular, la comunidad de investigación de seguridad detectó muchas de las vulnerabilidades de ejecución remota de código encontradas en Windows Server en 2023. El uso de una base de código Chromium para Edge en lugar de una base de código personalizada de Microsoft y la eliminación de la compatibilidad con Internet Explorer pueden haber reducido los casos de vulnerabilidades críticas en Borde. Microsoft ha bloqueado muchas formas en que los atacantes pueden explotar cargas útiles de phishing y malware utilizando aplicaciones de Office. Sin embargo, la incorporación de compatibilidad con los archivos SKP patentados de SketchUp Software en junio de 2022 permitió explotar algunas vulnerabilidades a través de modelos 3D.