Las vulnerabilidades de elevación de privilegios de Microsoft aumentaron nuevamente en 2021



La cantidad de errores de escalada de privilegios en los productos de Microsoft aumentó por segundo año consecutivo en 2021, lo que destaca el riesgo creciente que esta categoría de vulnerabilidad representa para las organizaciones.

BeyondTrust analizó recientemente los datos de las divulgaciones de vulnerabilidades de Microsoft en 2021 y descubrió que 588, o el 49 %, del overall de 1212 errores que la empresa reveló les dieron a los atacantes una forma de elevar los privilegios en los sistemas y redes comprometidos. El número representó un aumento del 5 % con respecto a los 559 errores de escalada de privilegios en los productos de Microsoft que BeyondTrust contó en 2020, cuando dichos errores también eclipsó todas las demás categorías de vulns en las tecnologías de la empresa.

La tendencia es importante porque las organizaciones a veces tienden a prestar menos atención a las vulnerabilidades de escalada de privilegios que a otros errores porque, a menudo, solo pueden explotarse después de que un atacante ya ha comprometido un sistema. «Los errores de elevación de privilegios no reciben la misma atención de las organizaciones» que otras vulnerabilidades, dice Tim McGuffin, director de ingeniería contradictoria de LARES Consulting. La mayoría de las organizaciones se enfocan en prevenir el compromiso inicial, que puede provenir de vulnerabilidades de ejecución remota de código y otras fallas, dice. «Pero [they] a menudo quitan prioridad a los parches para las vulnerabilidades de EoP y esperan hasta los ciclos de parches trimestrales o anuales».

Una nueva tendencia

La cantidad de vulnerabilidades de escalada de privilegios en las tecnologías de Microsoft aumentó el año pasado, incluso cuando la cantidad whole de errores informados en los productos de la compañía disminuyó por primera vez en años. Los 1212 errores que Microsoft reveló en 2021 fueron aproximadamente un 5 % más bajos que los 1268 errores que informó en 2020. Eso contrasta fuertemente con los cuatro años anteriores, en los que casi se duplicaron los errores: de 451 en 2016 a 858 en 2019.

BeyondTrust también observó una disminución del 47 % en la cantidad de vulnerabilidades críticas que Microsoft reveló en 2021: 104 en comparación con 196 en 2020. La cantidad de vulnerabilidades del sistema operativo Windows también disminuyó drásticamente en 2021, de un récord de 907 vulnerabilidades en Home windows 7, Home windows RT, Home windows 8/8.1 y Windows 10 a solo 507 el año pasado.

Las vulnerabilidades de ejecución remota de código, que fueron el tipo de problema de seguridad más común en los productos de Microsoft hasta 2019, ocuparon el segundo lugar el año pasado con 326, seguidas de las vulnerabilidades de divulgación de información (119), suplantación de identidad (66) y errores de denegación de servicio (55). Microsoft informó un overall de 44 vulnerabilidades de omisión de seguridad el año pasado y 3 problemas relacionados con la manipulación. BeyondTrust observó disminuciones en otras vulnerabilidades, como el desbordamiento, la corrupción de la memoria y las fallas de secuencias de comandos entre sitios en las tecnologías de Microsoft. Acumulativamente, hubo 215 vulnerabilidades menos en estas tres categorías en 2021 en comparación con el año anterior.

El proveedor atribuyó varias razones probables para las reducciones de vulnerabilidades de Microsoft el año pasado, incluidas mejores prácticas de codificación y seguridad por parte de Microsoft fin de la vida útil de Windows 7 y otros productos y el cambio de más cargas de trabajo y servicios empresariales a la nube.

Menos vulnerabilidades críticas

«Una caída en las vulnerabilidades críticas reportadas de 196 a 104 es una gran noticia», dice Richard Stiennon, analista jefe de investigación de IT-Harvest. «Sin embargo, es difícil derivar strategies solo de los números».

El aumento de las vulnerabilidades de escalamiento de privilegios, por ejemplo, es significativo porque indica que los investigadores están buscando con más ahínco estas fallas en los productos de Microsoft. «Estos son críticos porque un atacante los usará para obtener privilegios de administrador y, por lo tanto, el control completo de un sistema», dice Stiennon. «Los grupos APT suelen tener algún tipo de exploits de escalada en sus cajas de herramientas para comprometer sus objetivos».

La adopción por parte de Microsoft a fines de 2021 del formato CVSS estándar de la industria para informar vulnerabilidades también hizo imposible determinar cuántas de las vulnerabilidades críticas que reveló el año pasado podrían haberse mitigado al eliminar los derechos de administrador en los sistemas de los usuarios, dijo BeyondTrust.

El CVSS se deriva de datos que están diseñados para producir una puntuación numérica relativa a la gravedad de una vulnerabilidad, dice Christopher Hills, estratega jefe de seguridad de BeyondTrust. «Esto es excelente para que la audiencia en standard vea qué vulnerabilidades tienen la mayor gravedad», dice. «Pero proporciona camuflaje para aquellas vulnerabilidades que aprovechan la elevación de privilegios porque ahora están ocultas en el informe».

Entre 2015 y 2020, alrededor del 75 % de las vulnerabilidades críticas de Microsoft podrían haberse mitigado eliminando los derechos de administrador en los sistemas de los usuarios. Hay pocas razones para creer que la situación ha cambiado mucho ahora, según BeyondTrust.

«Dado que los sistemas de usuarios finales y el acceso remoto son el principal vector de ataque para los malos actores, realmente no hay una razón válida por la que los usuarios deban tener derechos permanentes o derechos de administrador en los sistemas de usuarios finales», dice Hills. La eliminación de los derechos de administrador tiene el potencial de afectar la productividad del usuario last y fomentar una mala experiencia de usuario, admite: «Pero con la tecnología precise y las soluciones disponibles, no hay cantidad de productividad del usuario last que pueda compensar el costo de una violación o compromiso .»

McGuffin dice que la disminución en las vulnerabilidades de Microsoft reportadas el año pasado también podría tener que ver con otras razones. Algunos países han modificado sus procesos de divulgación de vulnerabilidades para que las vulnerabilidades recién descubiertas se deban informar primero al gobierno, y solo entonces se pueden informar al proveedor, señala. «Esos mismos países también han restringido la capacidad de los ciudadanos para participar en concursos como Pwn2Have, donde las vulnerabilidades se divulgarían públicamente después de la competencia», señala.

Y debido a que los investigadores a veces se enfocan en áreas y tecnologías específicas, eso también puede tener un impacto en la cantidad de vulnerabilidades descubiertas en una categoría en unique, dice McGuffin. «Como ejemplo, una vulnerabilidad en el [Windows] El servicio de cola de impresión llevó a varios otros investigadores a profundizar, y ahora tenemos más de una docena de vulnerabilidades de RCE y PrivEsc en la cola de impresión», dice.



Enlace a la noticia initial