Microsoft ha solucionado más de 900 CVE como parte de las versiones del martes de parches de 2023, incluidas más de 20 vulnerabilidades de «zero-day».
Antecedentes
El Patch Tuesday de Microsoft, un lanzamiento mensual de parches de software para varios productos de Microsoft, celebró su 20º aniversario en 2023. En 2022, Tenable Research publicó una entrada de blog en la que se analizaba el impacto de Patch Tuesday en la ciberseguridad a lo largo de los años. Para 2023, queríamos continuar esta retrospectiva con un repaso anual del martes de parches para sacar a la luz varias tendencias que observamos en nuestro análisis mensual.
Análisis
En 2023, Microsoft parcheó 909 CVE, lo que supone un ligero descenso del 0,87% con respecto a 2022, año en el que Microsoft parcheó 917 CVE.
Desde 2017, las publicaciones del Patch Tuesday han experimentado una tendencia al alza, alcanzando su punto máximo en 2020 con 1.245 CVE parcheados. En los últimos tres años, Patch Tuesday ha tendido a la baja desde su punto álgido, estabilizándose y rondando la media de referencia, que es de 862 CVE al año.
El mes con más Patch Tuesday en 2023 fue julio, cuando Microsoft parcheó 130 CVE. Solo en dos meses se parchearon más de 100 CVE (julio y octubre), mientras que en cuatro meses Microsoft parcheó menos de 60 CVE (mayo, septiembre, noviembre y diciembre).
Patch Tuesday 2023 por gravedad
Cada mes, Microsoft clasifica las vulnerabilidades en cuatro niveles principales de gravedad: baja, moderada, importante y crítica.
En 2023, la mayoría de las vulnerabilidades se clasificaron como importantes, representando el 90% de todos los CVE parcheados, seguidas de las críticas, con un 9,6%. Las vulnerabilidades moderadas y bajas combinadas representaron solo el 0,4% de todos los CVE parcheados.
Estas cifras son relativamente coherentes con las de 2022, cuando Microsoft parcheó 831 CVE importantes, que representaban el 90,2%, mientras que las vulnerabilidades críticas suponían 85 CVE o el 9,2%.
Como ya se ha señalado, julio de 2023 fue el mes de mayor número de parches, con 130 CVE abordados: nueve vulnerabilidades críticas y 121 importantes.
Patch Tuesday 2023 por impacto
Además de los niveles de gravedad, Microsoft también clasifica las vulnerabilidades por siete niveles de impacto: ejecución remota de código (RCE), elevación de privilegios (EoP), denegación de servicio (DoS), divulgación de información, suplantación de identidad, elusión de funciones de seguridad y manipulación.
En 2023, la mayoría de las vulnerabilidades parcheadas por Microsoft pertenecían a la categoría RCE, con un 36%, seguida de las vulnerabilidades EoP, con un 26%. Las vulnerabilidades de divulgación de información representaron el 12,5% de las vulnerabilidades parcheadas. A pesar de tener una categoría para ello, Microsoft no etiquetó ninguna vulnerabilidad como Tampering.
Cada mes, las vulnerabilidades RCE y EoP lucharon por el primer puesto, ya que ambas se combinaron para representar casi dos tercios de todas las vulnerabilidades parcheadas en 2023.
Patch Tuesday 2023 vulnerabilidades de día cero
Al revisar las versiones de los Patch Tuesday, uno de los factores importantes es la presencia de vulnerabilidades de «zero-day». Las vulnerabilidades de día cero se definen como vulnerabilidades en el software que han sido explotadas en la naturaleza y/o han sido reveladas públicamente antes de que los parches estuvieran disponibles.
En 2023, Microsoft publicó parches para 23 vulnerabilidades de día cero. Para este recuento, no incluimos una actualización de Defense In Depth (ADV230003) de agosto, ya que es una corrección para una vulnerabilidad revelada en julio de 2023, que ya se ha contabilizado.
De las 23 vulnerabilidades de día cero parcheadas en 2023, más de la mitad (52,2%) eran fallos EoP. Las vulnerabilidades EoP son a menudo aprovechadas por los actores de amenazas persistentes avanzadas (APT) y por ciberdelincuentes decididos que buscan elevar privilegios como parte de la actividad posterior al compromiso. Después de los fallos EoP, las vulnerabilidades de elusión de funciones de seguridad representaron el 26,1% de los días cero en 2023. Estas dos categorías combinadas representaron más de tres cuartas partes (78,3%) de todas las vulnerabilidades de día cero en 2023. Aunque los RCE fueron las vulnerabilidades más destacadas del martes de parches, sólo representaron el 4,3% de los fallos de «zero-day».
Algunas de las vulnerabilidades de «zero-day» más notables reveladas durante los lanzamientos del Patch Tuesday de 2023 incluyen CVE-2023-23397, una vulnerabilidad EoP en Microsoft Outlook que ha sido explotada por un grupo ruso de amenazas persistentes avanzadas (APT) conocido como APT28 o Forest Blizzard. A pesar de haber sido parcheada en marzo, los investigadores de Unit 42 han observado una campaña tan reciente como octubre de 2023 aprovechando este fallo.
Se observó que al menos dos de los días cero estaban siendo explotados por grupos de ransomware, incluyendo CVE-2023-24880 por el grupo de ransomware Magniber y CVE-2023-28252 por el grupo de ransomware Nokoyawa. Se observó que CVE-2023-24932 se utilizaba en el kit de arranque UEFI de BlackLotus para eludir Secure Boot, mientras que CVE-2023-36884 ha sido utilizado por otro actor de amenazas con base en Rusia conocido como Storm-0978 para distribuir la puerta trasera RomCom. Por último, una vulnerabilidad en el protocolo HTTP/2, CVE-2023-44487, también conocida como Rapid Reset, se utilizó para realizar ataques distribuidos de denegación de servicio (DDoS) entre agosto y octubre. No se hicieron públicos los detalles de muchos de los otros días cero revelados en 2023.
Conclusión
Los lanzamientos de software como el Patch Tuesday con una cadencia prevista, como los que se producen cada mes, se conceptualizaron para ayudar a los defensores a prepararse para el tramo de parches de seguridad. A pesar de esta cadencia de lanzamientos, las vulnerabilidades conocidas siguen acechando a las organizaciones durante meses o años, lo que significa que aún queda trabajo por hacer.
Si echamos la vista atrás al Patch Tuesday de 2023, vemos que el volumen de CVE parcheados estuvo en línea con las cifras de 2022 y se ha mantenido lejos del pico de 2020. A pesar de las cifras globales, el martes de parches de 2023 siguió siendo agitado debido a la presencia de varios fallos de día cero y una serie de vulnerabilidades críticas en diversos productos de Microsoft.