A medida que disminuyen las vulnerabilidades críticas en el software de Microsoft, los ciberdelincuentes podrían encadenar explotaciones menos graves. Con ello buscarían conseguir la ejecución de código que contribuya a elevar los niveles de privilegios del sistema y moverse por las redes de las víctimas.
En 2022, la cantidad de vulnerabilidades de Microsoft registradas fue más alta que nunca, a pesar de que las críticas cayeron hasta su punto más bajo. Según un informe de BeyondTrust, el pasado año, solo el 6,9% de las vulnerabilidades de Microsoft se clasificaron como críticas, menos de la mitad de las registradas en 2020.
Esta tendencia indica que, si bien las vulnerabilidades generales han aumentado en número, los riesgos y los peores escenarios asociados con estas vulnerabilidades han disminuido con respecto a años anteriores.
Asimismo, el informe apunta que, si bien la superficie de ataque general de Microsoft se está expandiendo junto con la expansión del negocio de la compañía, los esfuerzos para minimizar los errores de desarrollo más peligrosos están dando sus frutos.
Más ciberataques, pero menos graves
A medida que disminuyen las vulnerabilidades críticas, BeyondTrust destaca que es posible que los atacantes necesiten encadenar explotaciones menos graves para conseguir sus objetivos de ejecución de código, elevar sus privilegios del sistema y moverse por las redes de las víctimas.
Sin embargo, la técnica de encadenamiento proporciona a los equipos de seguridad más puntos potenciales a través de los cuales pueden detectar, interceptar y mitigar una infracción.
Las explotaciones de éxito contra los sistemas de Microsoft también requerirán un mayor nivel de habilidad de los delincuentes, lo que podría reducir la cantidad de posibles atacantes.
En 2022, Microsoft identificó 715 vulnerabilidades de elevación de privilegios, un aumento del 22% respecto al año anterior, y un aumento del 689% con respecto a 2017. Este es un dato crucial ya que el objetivo de un atacante es hacer que su código se ejecute y para conseguir los privilegios que le permitan llevar a cabo un ataque con éxito.
Las vulnerabilidades de Office disminuyen
Otro de los datos destacados del informe de BeyondTrust es que la categoría de productos de Microsoft Office experimentó una caída de las vulnerabilidades de un 45% en 2022, aunque las vulnerabilidades críticas en el paquete de software aumentaron de un mínimo de una en 2021 a dos instancias en 2022.
«Si bien existe una tendencia general a la baja en la cantidad de vulnerabilidades de Microsoft Office, estas aplicaciones siguen siendo un objetivo exitoso para los actores de amenazas. Esto se debe, en gran parte, a los tiempos de retraso entre el descubrimiento y la aplicación de parches», señala la compañía.
La tendencia a la baja en las vulnerabilidades también se puede atribuir a los esfuerzos de Microsoft para cortar los vectores de ataque comunes, como el bloqueo de las macros de Internet de forma predeterminada en las aplicaciones de Office.
ChatGPT podría traer nuevas vulnerabilidades
Desde 2019, Microsoft ha realizado importantes inversiones en OpenAI, desarrollador de ChatGPT, y tiene planes de integrar Inteligencia Artificial (IA) en algunos de sus productos. De hecho, ChatGPT ya está incorporado en el motor de búsqueda de Microsoft, Bing, con la esperanza de convertirlo en un competidor aún más fuerte para Google en el mercado de búsquedas.
Sin embargo, el uso extensivo de la IA también podría introducir nuevos tipos de vulnerabilidades.
Los sistemas de IA pueden ser vulnerables a la manipulación y explotación por parte de actores malintencionados, que podrían usar esta inteligencia para llevar a cabo ciberataques u obtener acceso no autorizado a información confidencial.