El número total de vulnerabilidades de Microsoft informadas en 2021 cayó un 5 %, revirtiendo una tendencia de cinco años en la que dichas vulnerabilidades aumentaron considerablemente, según un nuevo informe del proveedor de seguridad y gestión de identidades BeyondTrust.

En 2021 se descubrieron un total de 1212 nuevas vulnerabilidades, pero su gravedad, así como su ubicación en la familia de productos de software de Microsoft, ha cambiado significativamente año tras año. Las vulnerabilidades calificadas como «críticas» por CVSS han caído un 47 % en el último año, alcanzando sus niveles más bajos desde que BeyondTrust comenzó a publicar este informe hace nueve años.

Vulnerabilidades en Windows, caída de Windows Server

Tanto Windows como Windows Server experimentaron fuertes descensos en el número total de vulnerabilidades detectadas, en un 40 % y un 50 %, respectivamente, mientras que las vulnerabilidades que afectan a los navegadores Microsoft Edge e Internet Explorer alcanzaron un máximo histórico.

Ayudando al análisis más reciente está el cambio de Microsoft al Sistema de Puntuación de Vulnerabilidad Común de NIST, que permite a los investigadores hacer una referencia cruzada de fallas de seguridad más directamente con errores en el ecosistema externo.

El tipo de vulnerabilidad más común visto en 2021 involucró la elevación de privilegios, donde un atacante obtiene derechos de administrador en un sistema a través de medios ilícitos. En 2021 se descubrieron un total de 588 vulnerabilidades de este tipo. Los investigadores de BeyondTrust atribuyen el aumento a una adherencia más generalizada a las mejores prácticas de seguridad; perversamente, una disminución general en la cantidad de usuarios con privilegios de administrador innecesarios ha ayudado a centrar los esfuerzos de los malos actores en intentos de obtener privilegios elevados de diferentes maneras.

Los atacantes innovan para obtener derechos de administrador

«Sans un accès facile aux utilisateurs disposant de droits d’administrateur locaux, les attaquants ont commencé à innover pour obtenir des privilèges élevés qui peuvent ensuite être utilisés pour compromettre les systèmes, voler les informations d’identification et se déplacer latéralement», indique le relación.

El segundo tipo de vulnerabilidad más común se centra en la ejecución remota de código, que es particularmente peligrosa porque los ataques dirigidos a tales fallas se pueden llevar a cabo de forma remota, con poca o ninguna interacción del usuario. En 2021 se descubrieron un total de 326 de estas vulnerabilidades, 35 de las cuales obtuvieron una calificación de 9,0 o superior en la escala CVSS.

«Con este tipo de riesgo, un exploit explotable no es una cuestión de ‘existe un exploit’, sino de ‘cuándo estará disponible públicamente'», dijo el informe de BeyondTrust.

El informe también reveló vulnerabilidades en productos clave de Microsoft, incluidos Azure, Windows y Microsoft Office. Este último vio solo una vulnerabilidad crítica, en comparación con un total de 66 encontradas en 2021, mientras que las mismas cifras para Azure y Dynamics 365 fueron siete y 44, respectivamente.

Los investigadores de BeyondTrust elogiaron los continuos esfuerzos de Microsoft para mantener Azure seguro y elogiaron una «disminución constante» de las vulnerabilidades de Office. Asimismo, el propio sistema operativo Windows experimentó una caída del 40 % en las vulnerabilidades totales en 2021 en comparación con el año anterior, con una caída del 50 % en las vulnerabilidades críticas de seguridad.

Derechos de autor © 2022 IDG Communications, Inc.

Share This