Hoy publicamos nuestra investigación sobre la explotación de vulnerabilidades en Windows durante 2014. Este reporte contiene información interesante sobre vulnerabilidades en Windows y Office de Microsoft parcheadas en el transcurso del año pasado, ataques drive-by download y técnicas de mitigación.

El informe incluye la siguiente información:

  • Vulnerabilidades descubiertas y parcheadas en Microsoft Windows y Office
  • Estadísticas sobre vulnerabilidades parcheadas y cómo se comparan con los números de 2013
  • Descripciones detalladas de vectores de explotación
  • Vulnerabilidades que fueron explotadas in-the-wild, incluyendo una tabla específica mostrando las que evadieron la técnica de Selección Aleatoria del Diseño del Espacio de Direcciones (ASLR)
  • Técnicas de explotación y mitigación del navegador web de Microsoft, Internet Explorer (IE)

El año pasado vimos muchos exploits usados para ataques drive-by download, que se ejecutan para instalar malware silenciosamente. Nuestro reporte contiene información detallada sobre la naturaleza de estos ataques y cómo Microsoft mejoró Internet Explorer para que sean mitigados por defecto.

En la primera figura debajo pueden ver que Microsoft solucionó la mayoría de las vulnerabilidades en Internet Explorer. Prácticamente todas pertenecen al tipo de ejecución remota de código, lo que significa que pueden ser usadas para implementar ataques drive-by download.

Este gráfico incluye información sobre fallas en IE, el driver que maneja la GUI de Windows, los drivers del kernel, el framework .NET, componentes del perfil de usuario de Windows y en Office.

componentes_corregidos
La próxima figura provee información sobre actualizaciones lanzadas para los productos mencionados. Hemos identificado una tendencia de explotación distintiva para cada una; por ejemplo, es obvio que los drive-by download constituyen la mayoría de los ataques en IE, porque las actualizaciones se lanzaron para solucionar vulnerabilidad de ejecución remota de código usadas por los atacantes para instalar malware en forma remota. Los drivers de Windows, incluyendo win32k.sys, pueden ser usados para elevación local de privilegios.

actualizaciones_tendencias

Por otro lado, nuestro reporte incluye una sección específica describiendo técnicas de mitigación introducidas por Microsoft durante el año pasado, cubriendo Windows, Internet Explorer y la herramienta EMET. Estos agregados de seguridad se ocupan de diversos tipos de ataques.

Por ejemplo, una funcionalidad incluida en IE llamada Out-of-date ActiveX control blocking es útil para bloquear exploits basándose en vulnerabilidades en versiones anteriores del plugin de Java de Oracle.Además, observamos ataques de elevación de privilegios local (LPE por sus siglas en inglés), que son usados por los cibercriminales para evadir el sandbox del navegador o ejecutar código no autorizado introducido por el malware en el kernel.

Durante 2014, Microsoft solucionó un número mucho más pequeño de vulnerabilidades para win32k.sys que en 2013, tal como podemos apreciar en el informe anterior de Aprovechamiento de vulnerabilidades de Windows en 2013. Desafortunadamente, hoy este driver es una de las mayores fuentes de vulnerabilidades de ese tipo y es usado frecuentemente por los atacantes.

Los invitamos a leer el informe completo de explotación de vulnerabilidades en Windows durante 2014 (próximamente en español) y a dejarnos su opinión.