Imagen: Fotoproff/Adobe Stock

Las vulnerabilidades generales de todos los productos de Microsoft disminuyeron un 5 % en 2021, según el informe anual BeyondTrust Microsoft Vulnerabilities 2022. Si bien algunos productos, como Internet Explorer y Microsoft Edge, experimentaron un aumento en el número total de vulnerabilidades, el número más bajo de vulnerabilidades de Microsoft fue calificado como crítico.

Esta tendencia también se mantuvo para Windows, Windows Server, Microsoft Office, Azure Cloud y Dynamics365, la solución ERP de Microsoft.

Para crear el informe de vulnerabilidades de Microsoft, los autores revisaron cada boletín de seguridad de Microsoft del año anterior para proporcionar un barómetro del panorama de amenazas para el ecosistema de Microsoft.

VER: Comandos de Windows, Linux y Mac que todos deberían conocer (PDF gratuito) (República Tecnológica)

La cantidad de vulnerabilidades en otras categorías, como corrupción de memoria, desbordamiento y secuencias de comandos entre sitios, también se redujo significativamente en todos los productos de Microsoft entre 2020 y 2021.

Por segundo año consecutivo, la elevación de privilegios superó a la ejecución remota de código como la categoría de seguridad con la mayor cantidad de vulnerabilidades registradas.

"A medida que profundizamos en los datos de este año, podemos ver la continua tendencia a la baja en las vulnerabilidades críticas", dijo James Maude, investigador principal de seguridad cibernética de BeyondTrust, un proveedor de seguridad y administración de privilegios en la nube. "En pocas palabras, esta inversión ha hecho que sea mucho más difícil para un atacante pasar de una vulnerabilidad del navegador al control total del sistema con un solo toque".

Índice

Vulnerabilidades en los productos de Microsoft

Vulnerabilidades de Internet Explorer y Edge

En 2021, hubo un récord de 349 vulnerabilidades de Internet Explorer y Edge, casi cuatro veces el número en 2020, aunque solo seis se consideraron críticas.

Cette augmentation soudaine est due à la consolidation du marché des navigateurs (Edge ayant adopté la technologie de navigateur Chrome de Google), moins de plugins de navigateur tels qu'Adobe Flash à attaquer et une meilleure transparence dans les rapports de vulnérabilité par Google, selon el informe.

vulnerabilidades de Windows

En 2020, hubo 507 vulnerabilidades en los sistemas operativos Windows 7, Windows RT, Windows 8/8.1 y Windows 10. Sesenta de las vulnerabilidades del sistema operativo Windows 10 se clasificaron como críticas. En general, las vulnerabilidades de Windows han disminuido un 40 % desde 2020 y un 50 % en los últimos cinco años.

"La postura más agresiva de Microsoft sobre la actualización de Windows también se traduce en una reducción del tiempo que los sistemas están en riesgo de vulnerabilidades", dice el informe. "Esta combinación de dos golpes de menos vulnerabilidades y soluciones más rápidas es un progreso bienvenido después de las implacables presiones de 2020".

Vulnerabilidades de Microsoft Office

De las 66 vulnerabilidades de Office informadas, solo una fue calificada como crítica. Si bien esta es una buena noticia, las aplicaciones de Office aún son vulnerables a vulnerabilidades antiguas, como el error del Editor de ecuaciones, aunque las soluciones han estado disponibles durante años.

“Muchos kits de herramientas de malware contienen numerosos exploits de Office agregados durante los últimos 10 años, con el objetivo de encontrar un sistema sin parches”, dice el informe. "Estos conjuntos de herramientas y estrategias han demostrado ser muy efectivos para muchos actores de amenazas".

Vulnerabilidades del servidor de Windows

Las vulnerabilidades de Windows Server han caído a sus niveles más bajos desde 2018, según el informe. Año tras año, la cantidad de vulnerabilidades de Windows Server disminuyó en un 41 %, mientras que las vulnerabilidades críticas se redujeron en un 50 % en comparación con 2020.

"Le tomó a Microsoft varias generaciones de Windows Server llegar a una versión inherentemente más segura", dice el informe. "Las últimas versiones de Windows Server tienen menos vulnerabilidades que nunca, a pesar de estar entre las bases de código más grandes para cualquier sistema operativo".

Vulnerabilidades de Azure y Dynamics 365

De las 30 vulnerabilidades de Azure, solo cinco se consideraron críticas. Dynamics 365 tenía seis vulnerabilidades críticas en 2020.

El informe identificó tres vulnerabilidades como particularmente problemáticas:

  • Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (CVE-2021-28480 y CVE-2021-28481)
  • Vulnerabilidad de ejecución remota de código del servidor DNS de Windows (CVE-2021-34473, CVE-2021-26894, CVE-2021-26895 y CVE-2021-26897)
  • Vulnerabilidad de ejecución remota de código de Microsoft Defender para IoT (CVE-2021-42311 y CVE-2021-4231)