El número de vulnerabilidades críticas de Microsoft disminuye
Esto pone más difícil el escenario de los ciberdelincuentes, que deberían realizar cadenas de ataques para llegar a moverse por las redes de las víctimas.
Aunque la cantidad total de vulnerabilidades fue más alta que nunca en 2022, las catalogadas como críticas llegaron a su punto más bajo, según el último informe de BeyondTrust. Durante el año pasado, solo el 6,9% de las vulnerabilidades se clasificaron como críticas, menos de la mitad de las registradas en 2020. En 2013, eran el 44%. Estas son aquellas cuyas características hacen de su explotación un evento de seguridad de alto impacto.
“Esta tendencia indica que, si bien las vulnerabilidades generales han aumentado en número, los riesgos y los peores escenarios asociados han disminuido con respecto a ejercicios anteriores”, reza el estudio, que también muestra que, aunque la superficie general de ataque de Microsoft se está expandiendo a medida en que crece su negocio, la organización está haciendo un trabajo mucho mejor para minimizar los errores peligrosos.
Este escenario puede forzar a los atacantes a encadenar explotaciones menos graves para lograr la ejecución del código, elevar sus privilegios en el sistema y moverse por las redes de las víctimas. Sin embargo, la técnica de encadenamiento proporciona a los equipos de seguridad más puntos potenciales para detectar, interceptar y mitigar una infracción. “Si un ciberdelincuente necesita encadenar tres o más vulnerabilidades para alcanzar su objetivo, entonces solo se necesita parchear o mitigar una de ellas para romper la cadena”.
Las explotaciones exitosas contra los sistemas de Microsoft también requerirán un mayor nivel de habilidad del atacante, lo que podría reducir la cantidad de posibles adversarios. En 2022, la compañía identificó 715 errores de elevación de privilegios, un aumento del 22% con respecto a 2021 y del 689% con respecto a 2017. Es un dato crucial; el objetivo de un atacante es hacer que su código ejecute con los suficientes privilegios como para tener éxito.
“Para lograr esto, deben tener ejecución remota de código, la capacidad de ejecutar el suyo en un sistema de destino y elevación”.
Las vulnerabilidades de Office disminuyen
La categoría de productos de Microsoft Office experimentó una caída del 45% en 2022, aunque las vulnerabilidades críticas aumentaron de un mínimo de una en 2021 a dos el año pasado. “Si bien existe una tendencia general a la baja en la cantidad de vulnerabilidades de Microsoft Office, las aplicaciones de Office siguen siendo un objetivo exitoso para los actores de amenazas. Esto se debe en gran parte a los tiempos de retraso entre el descubrimiento y la aplicación de parches”, dijo BeyondTrust.
La tendencia a la baja en la vulnerabilidad también se puede atribuir a los esfuerzos de Microsoft para cortar los vectores de ataque comunes, como las macros VBA en los documentos, que se entregan desde Internet. Este es un vector de ataque común, pero los intentos de mitigación anteriores han sido simplemente bloques blandos que se eluden fácilmente mediante la ingeniería social del usuario final para habilitar macros. En 2022, Microsoft bloqueó las macros de Internet de forma predeterminada en las aplicaciones de Office.
ChatGPT podría traer nuevas vulnerabilidades
Microsoft ha estado invirtiendo mucho en OpenAI, desarrollador de ChatGPT, desde 2019 y tiene planes de integrar IA en varios de sus productos. ChatGPT ya se está incorporando al motor de búsqueda de Microsoft, Bing, con la esperanza de convertirlo finalmente en un competidor de búsqueda más fuerte para Google.
Sin embargo, el uso extensivo de la IA también podría introducir nuevos tipos de vulnerabilidades, advierte BeyondTrust. “La IA aprende de grandes conjuntos de datos y, fundamentalmente, expande las entidades que se pueden usar para explotar un sistema”, dijo BeyondTrust.
Los sistemas de IA pueden ser vulnerables a la manipulación y explotación por parte de actores malintencionados, que podrían usar IA para llevar a cabo ciberataques u obtener acceso no autorizado a información confidencial.
“A medida que el panorama tecnológico continúa su próxima fase de evolución, los números de vulnerabilidad deberían seguir aumentando, las nuevas amenazas seguirán surgiendo del ciberéter”, dijo BeyondTrust.
