Patch Tuesday: Big Tech corrige mais de 20 vulnerabilidades Zero Day em 2023

A Microsoft ainda abordou mais de 900 CVEs como parte dos lançamentos do projeto mensal de correção de vulnerabilidades, mantendo o mesmo patamar estávem do ano passado

Compartilhar:

O Patch Tuesday da Microsoft, um lançamento mensal de patches de software para vários produtos Microsoft, celebrou seu 20º aniversário em 2023. Em 2022, a Tenable Research publicou uma análise em seu blog discutindo o impacto do Patch Tuesday na segurança cibernética ao longo dos anos. Para 2023, esta retrospectiva com um ano de revisão traz à tona várias tendências observadas na análise mensal.

Para 2023, a Microsoft corrigiu 909 CVEs, um ligeiro declínio de 0,87% em relação a 2022, em que foram corrigidas 917 CVEs. Desde 2017, os lançamentos do Patch Tuesday seguiram uma tendência ascendente, atingindo o pico em 2020 com 1.245 CVEs corrigidas. Nos últimos três anos, o Patch Tuesday apresentou tendência de queda desde o seu pico, estabilizando e seguindo em direção à média da linha de base, que é de 862 CVEs por ano.

O mês de pico do Patch Tuesday em 2023 foi julho, quando a Microsoft corrigiu 130 CVEs. Apenas dois meses viram mais de 100 CVEs corrigidas (julho, outubro). Na outra ponta, em quatro meses a Microsoft corrigiu menos de 60 CVEs (maio, setembro, novembro, dezembro).

Vulnerabilidades Zero Day

Ao analisar os lançamentos do Patch Tuesday, um dos fatores importantes é a presença de Zero Day. Estas vulnerabilidades são definidas por aquelas que foram exploradas e/ou divulgadas publicamente antes da disponibilização dos patches. Em 2023, a Microsoft lançou patches para 23 vulnerabilidades Zero Day. Para esta contagem, não incluímos uma atualização do Defense In Depth (ADV230003) de agosto por se tratar de uma correção para uma vulnerabilidade divulgada em julho de 2023, que já foi contabilizada.

Das 23 vulnerabilidades Zero Day corrigidas em 2023, mais da metade (52,2%) eram falhas de elevação de privilégio (EoP). As vulnerabilidades EoP são frequentemente aproveitadas por agentes de ameaças persistentes avançadas (APT) e por cibercriminosos determinados que procuram elevar privilégios como parte da atividade pós-comprometimento.

Após as falhas EoP, as vulnerabilidades de desvio de recursos de segurança representaram 26,1% dos Zero Days em 2023. Essas duas categorias combinadas representam mais de três quartos (78,3%) de todas os Zero Days em 2023. Embora as RCEs (execução remota de código) tenham sido as vulnerabilidades mais proeminentes no Patch Tuesday, elas representaram apenas 4,3% das falhas Zero Day.

Alguns dos Zero Days mais notáveis divulgadas durante os lançamentos do Patch Tuesday em 2023 incluem a CVE-2023-23397, uma vulnerabilidade EoP no Microsoft Outlook que foi explorada por um grupo russo de ameaças persistentes avançadas (APT) conhecido como APT28 ou Forest Blizzard. Apesar de ter sido corrigido em março, os investigadores da UNIT 42 observaram uma campanha recentemente, em outubro de 2023, aproveitando esta falha.

Pelo menos dois Zero Days foram observados sendo explorados por grupos de ransomware, incluindo a CVE-2023-24880 pelo grupo de ransomware Magniber e a CVE-2023-28252 pelo grupo de ransomware Nokoyawa. A CVE-2023-24932 foi observada no bootkit BlackLotus UEFI para ignorar a inicialização segura, enquanto a CVE-2023-36884 foi utilizada por outro ator de ameaça baseado na Rússia, conhecido como Storm-0978, para distribuir o backdoor RomCom.

Finalmente, uma vulnerabilidade no protocolo HTTP/2, a CVE-2023-44487, também conhecida como Rapid Reset, foi usada para conduzir ataques distribuídos de negação de serviço (DDoS) de agosto a outubro. Os detalhes dos outros Zero Days divulgados em 2023 não foram divulgados.

Gravidade das correções

Todos os meses, a Microsoft categoriza as vulnerabilidades em quatro níveis principais de gravidade: baixo, moderado, importante e crítico. Em 2023, a maioria das vulnerabilidades foi classificada como importante, representando 90% de todos os CVEs corrigidos, seguida pelas críticas com 9,6%. As vulnerabilidades moderadas e baixas combinadas representaram apenas 0,4% de todos as CVEs corrigidas.

Esses números são relativamente consistentes com os números de 2022, quando a Microsoft corrigiu 831 CVEs importantes, que representaram 90,2%, enquanto vulnerabilidades críticas representaram 85 CVEs ou 9,2%. Conforme observado anteriormente, julho de 2023 foi o mês de pico de patches, com 130 CVEs resolvidas: nove críticas e 121 importantes.

Impacto

Além dos níveis de gravidade, a Microsoft também categoriza as vulnerabilidades em sete níveis de impacto: execução remota de código (RCE), elevação de privilégio (EoP), negação de serviço (DoS), divulgação de informações, spoofing, desvio de recursos de segurança e adulteração.

Em 2023, a maioria das vulnerabilidades corrigidas pela Microsoft caiu na categoria RCE, representando 36%, seguida por vulnerabilidades EoP com 26%. As vulnerabilidades de divulgação de informações representaram 12,5% das vulnerabilidades corrigidas. Apesar de ter uma categoria para isso, a Microsoft não rotulou nenhuma vulnerabilidade como Adulteração.

Todos os meses, as vulnerabilidades RCE e EoP lutaram pelo primeiro lugar, pois ambas combinadas representaram quase dois terços de todas as vulnerabilidades corrigidas em 2023.

Sobre o evento

Lançamentos de software como o Patch Tuesday com uma cadência esperada, como aqueles que acontecem todos os meses, foram criados para ajudar os defensores a se prepararem para patches de segurança. Apesar desta cadência de lançamento, as vulnerabilidades conhecidas continuam a assombrar as organizações durante meses ou anos, o que significa que ainda há mais trabalho a ser feito.

Olhando para o Patch Tuesday de 2023, vemos que o volume de CVEs corrigidas estava alinhado com os números de 2022 e permaneceu longe do pico em 2020. Apesar dos números gerais, o Patch Tuesday em 2023 ainda foi agitado devido à presença de diversas falhas Zero Day e de diversas vulnerabilidades críticas em diversos produtos da Microsoft.



Conteúdos Relacionados

Security Report | Overview

Itaú Unibanco lança campanha nacional de Marketing sobre Segurança e fraudes

Filmes serão exibidos na programação da TV Globo; campanha faz parte da estratégia para posicionamento do Itaú como banco referência...
Security Report | Overview

Brasil é uma das principais origens de ataques de DoS, aponta levantamento

Relatório da ISH Tecnologia também apresenta tentativas de logins mais usadas por criminosos, entre outros dados
Security Report | Overview

27% dos ataques cibernéticos na América Latina miram infraestrutura crítica

Pesquisa da Kaspersky também revela problemas no setor de transporte e manufatura
Security Report | Overview

Paris 2024: pesquisa revela que os Jogos estão em alto risco de ciberataques

De acordo com a Unit 42, os ciberataques são as principais ameaças ao evento esportivo mais importante do ano, com...