Microsoft solucionó más de 1.000 CVE como parte de las versiones del Patch Tuesday en 2024, incluidas 22 vulnerabilidades de «zero-day».
Antecedentes
El Patch Tuesday de Microsoft, un lanzamiento mensual de parches de software para los productos de Microsoft, acaba de celebrar su 21º aniversario.
Análisis
En 2024, Microsoft parcheó 1.009 CVE a lo largo del año en multitud de productos. En contraste, en 2023 se parchearon 909 CVE y en 2022, 917 CVE. Aunque Microsoft aún no ha superado su récord de 2020, con 1.245 CVE parcheados, 2024 sigue siendo significativo, ya que es la segunda vez desde la creación de Patch Tuesday que Microsoft parchea más de 1.000 CVE en un año.
Año tras año, observamos un aumento constante de los CVE parcheados, con la excepción del caso atípico de 2020, un pico de CVE que aún no hemos visto igualado.
En 2024, el mayor recuento de CVE se observó en abril, con Microsoft publicando parches para 147 CVE. Solo en tres meses se superaron los 100 CVE, con una media de 84 CVE parcheados al mes.
Patch Tuesday 2024 por gravedad
Cada mes, Microsoft clasifica las vulnerabilidades en cuatro niveles principales de gravedad: baja, moderada, importante y crítica.
Al igual que en 2023, en 2024 la mayoría de las vulnerabilidades se clasificaron como importantes, con un 93,6% de todos los CVE parcheados, seguidas de las críticas, con un 5,4%. Las moderadas representaron el 1,1%, mientras que no hubo ninguna CVE calificada de baja en 2024.
Patch Tuesday 2024 por impacto
Además de los niveles de gravedad, Microsoft también clasifica las vulnerabilidades por siete niveles de impacto: ejecución remota de código (RCE), elevación de privilegios (EoP), denegación de servicio (DoS), revelación de información, suplantación de identidad, elusión de funciones de seguridad y manipulación.
Una vez más en 2024, las vulnerabilidades RCE lideraron la categoría de impacto, representando el 39,7%, mientras que las vulnerabilidades EoP representaron el 28,8%. Las vulnerabilidades DoS se situaron en tercer lugar, con un 10%, seguidas de los fallos de divulgación de información, con un 8,3%, y las vulnerabilidades de elusión de funciones de seguridad, con un 8,0%. El año pasado no hubo ninguna vulnerabilidad clasificada como manipulación, pero este año sólo hubo cuatro, que representaron el 0,4%.
Vulnerabilidades de «zero-day» del Patch Tuesday 2024
Según Statista, el sistema operativo (SO) Windows de Microsoft tiene una cuota de mercado del 72% en febrero de 2024, lo que lo convierte en el SO más destacado. Con la mayor cuota de mercado, Microsoft sigue siendo uno de los principales objetivos de los ciberdelincuentes y los grupos de amenazas persistentes avanzadas (APT). En ocasiones, estos grupos encuentran y explotan vulnerabilidades que siguen siendo desconocidas para Microsoft, conocidas como vulnerabilidades de día cero. Las vulnerabilidades de día cero se definen como vulnerabilidades en el software que han sido explotadas en la naturaleza y/o han sido reveladas públicamente antes de que los parches estuvieran disponibles. Estas vulnerabilidades de día cero suelen aprovecharse en ataques limitados y dirigidos, aunque la explotación de estos fallos puede variar en profundidad y amplitud.
En 2024, Microsoft parcheó 22 CVE identificadas como vulnerabilidades de día cero. De las 22 vulnerabilidades de día cero parcheadas en 2024, el 36,4% eran fallos EoP. Las vulnerabilidades EoP son a menudo aprovechadas por actores APT y por ciberdelincuentes decididos que buscan elevar privilegios como parte de la actividad posterior a la vulneración. Tras los fallos EoP, las vulnerabilidades de elusión de funciones de seguridad representaron el 27,3% de los días cero en 2024. Aunque los RCE fueron las vulnerabilidades más destacadas en el martes de parches, solo representaron el 18,2% de los fallos de día cero.
Aunque estos zero-days constituyeron una pequeña parte del total de CVE abordados por Microsoft en 2024, analizamos algunas de las vulnerabilidades de día cero más notables de 2024. La siguiente tabla incluye estos CVE con algunos detalles sobre su actividad de explotación.
| CVE | Description | Exploitation Activity |
|---|---|---|
| CVE-2024-21338 | Windows Kernel Elevation of Privilege Vulnerability | Exploited by the Lazarus APT Group to deploy the FudModule rootkit |
| CVE-2024-21412 | Internet Shortcut Files Security Feature Bypass Vulnerability | Water Hydra (aka DarkCasino) exploited this in a campaign named DarkGate. This APT has also exploited this CVE to deploy the DarkMe remote access trojan (RAT) |
| CVE-2024-30051 | Windows DWM Core Library Elevation of Privilege Vulnerability | Used to deploy QakBot malware |
| CVE-2024-30088 | Windows Kernel Elevation of Privilege Vulnerability | Exploited by APT34 (aka OilRig) |
| CVE-2024-38112 | Windows MSHTML Platform Spoofing Vulnerability | Exploited by APT group Void Banshee to deploy the malware known as Atlantida stealer. |
| CVE-2024-38178 | Scripting Engine Memory Corruption Vulnerability | Exploited by APT37 (aka RedEyes, Reaper, ScarCruft, Group123 and TA-RedAnt) |
| CVE-2024-38193 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Exploited by the Lazarus APT Group (aka Diamond Sleet) to deploy the FudModule rootkit |
| CVE-2024-38213 | Windows Mark of the Web Security Feature Bypass Vulnerability | Water Hydra (aka DarkCasino) exploited this in a campaign named DarkGate. Vulnerability was named “Copy2Pwn” by Trend Micro’s Zero Day Initiative (ZDI) |
| CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability | Exploited by APT known as UAC-0194 to deploy Spark RAT malware. |
| CVE-2024-43461 | Windows MSHTML Platform Spoofing Vulnerability | Exploited by APT group Void Banshee in an attack chain with CVE-2024-38112 |
| CVE-2024-49039 | Windows Task Scheduler Elevation of Privilege Vulnerability | Exploited by the threat actor tracked as RomCom to deploy the RomCom RAT malware. |
Conclusión
A medida que reflexionamos sobre las vulnerabilidades del Patch Tuesday en 2024, a pesar de que el recuento de CVE año tras año se ha mantenido estable, hemos observado un pequeño aumento este año. Aunque siempre habrá valores atípicos, es probable que 2025 siga una tendencia al alza. En junio, Microsoft anunció que se emitirían CVE para vulnerabilidades en productos basados en la nube, incluso cuando no se requiriera la acción del usuario final. Esto podría provocar un fuerte aumento del número de CVE asignadas el año que viene.