BeyondTrust ha publicado el Informe 2024 sobre vulnerabilidades de Microsoft, que realiza la empresa anualmente. Este informe analiza los datos de los boletines de seguridad emitidos públicamente por Microsoft durante el año anterior y proporciona información para ayudar a las organizaciones a comprender, identificar y abordar los riesgos dentro de sus ecosistemas de Microsoft.
Cada boletín de seguridad de Microsoft se compone de una o más vulnerabilidades, que se aplican a uno o más productos de la compañía. Microsoft suele agrupar las vulnerabilidades en estas categorías principales: Ejecución remota de código (RCE), Elevación de privilegios (EoP), Revelación de información, Denegación de servicio (DDoS), Suplantación de identidad, Manipulación y Anulación de funciones de seguridad.
Este informe desglosa las vulnerabilidades y exposiciones comunes (CVE) y los cambios clave en las tendencias de vulnerabilidad. La edición de este año también evalúa cómo se están aprovechando las vulnerabilidades en los ataques basados en identidades, destacando algunas de las CVE más significativas de 2023 (puntuaciones de gravedad CVSS 9,0+).
Avances en las vulnerabilidades de Microsoft
Año tras año, desde el inicio de este informe, se evidencia un fuerte indicador de que los esfuerzos generales de seguridad a largo plazo están dando sus frutos. Esto también puede reflejar que los atacantes están centrando cada vez más sus esfuerzos en explotar las identidades, en lugar de las vulnerabilidades del software de Microsoft.
Tras alcanzar un máximo histórico en 2022, el total de vulnerabilidades continúa con un patrón de mantenimiento de 4 años cerca de sus cifras más altas de la historia en 2023, manteniéndose entre 1.200 y 1.300 (desde 2020).
La categoría de vulnerabilidades de elevación de privilegios sigue dominando, representando el 40 % (490) del total de vulnerabilidades en 2023. Las vulnerabilidades de denegación de servicio aumentaron un 51 % para alcanzar un récord de 109 en 2023, con un aumento del 190 % en el caso de la suplantación de identidad, que pasó de 31 a 90.
“Este informe sigue poniendo de manifiesto la necesidad de seguir mejorando la seguridad, no sólo en Microsoft, sino también para todas las organizaciones que buscan gestionar mejor los riesgos cibernéticos en el contexto de un panorama de amenazas en evolución“, afirma Mateo Díaz, Territory Sales Manager de BeyondTrust para Colombia.
El número total de vulnerabilidades críticas continúa su tendencia a la baja, pero ralentiza su descenso, cayendo un 6 % hasta 84 en 2023 (5 menos que en 2022). Las vulnerabilidades de Microsoft Azure y Dynamics 365 se redujeron a la mitad en 2023: de 114 a 63.
Microsoft Edge experimentó 249 vulnerabilidades en 2023, de las cuales solo una era crítica. Hubo 522 vulnerabilidades de Windows en 2023, 55 de las cuales eran críticas. Microsoft Office experimentó 62 vulnerabilidades en 2023. Mientras la categoría Windows Server tuvo 558 vulnerabilidades en 2023, 57 de las cuales fueron críticas.
“El informe de este año ilustra a la perfección el panorama moderno de las amenazas a las identidades. La continua dominación de la Elevación de Privilegios como la categoría más común de vulnerabilidad, y la crisis de identidad destacada al final del informe, subrayan la importancia de los privilegios y el eterno concepto de seguridad del menor privilegio. También fortalece la misión de BeyondTrust de proporcionar el más amplio nivel de visibilidad y protección de las vías de acceso al privilegio”, añade Mateo Díaz.
Futuro de las vulnerabilidades de Microsoft
A pesar de la estabilidad general de los datos sobre vulnerabilidades de Microsoft, el análisis del informe sobre vulnerabilidades críticas y tácticas de amenaza innovadoras predice que ahora no es el momento de bajar la guardia en protección de datos.
Por ejemplo, las vulnerabilidades y los sistemas sin parches seguirán proporcionando a los actores de amenazas un medio de ataque. Mientras continúe la expansión de las tecnologías de Microsoft seguirá introduciendo nuevas superficies de ataque a sus sistemas.
Se prevé un aumento del volumen y la sofisticación de los ataques basados en identidades, el informe de este año demuestra una vez más que los principios de seguridad fundamentales y arraigados, como el mínimo privilegio, seguirán ofreciendo la mejor línea de defensa, incluso contra las amenazas modernas, y que las organizaciones que combinen con éxito los controles de seguridad preventivos con la detección y respuesta a las amenazas seguirán estando mucho mejor preparadas para hacer frente a las amenazas del mañana.
