Nuevo informe sobre vulnerabilidades encontradas en Microsoft

¿Quién encuentra más vulnerabilidades en los productos de Microsoft? ¿Qué porcentaje de vulnerabilidades son descubiertas por la propia Microsoft, empresas o brókeres de vulnerabilidades? ¿Cuántos fallos no se sabe quién los ha descubierto? En este informe hemos analizado lo datos de los últimos tres años y medio para entender quién resuelve qué en el mundo de los productos Microsoft y la gravedad de estos fallos. Asimismo, nos permite disponer de una visión interesante sobre quién investiga realmente los productos de Microsoft, los reporta de manera responsable, así como cuántas vulnerabilidades están acreditadas y cuántas no (lo que podría suponer que son descubiertas por atacantes).
En este informe resolveremos las dudas de cuántos fallos encuentra Microsoft en su propio código, su gravedad, qué tendencia siguen y cuántos fallos son encontrados por terceros ya sea a través de programas de recompensa por vulnerabilidades o con sus propios medios.
Hemos realizado algo muy simple. Hemos recopilado y procesado toda la información de CVEs acreditadas desde marzo de 2016 hasta septiembre de 2019. La fuente de información ha sido principalmente esta página.

Estas son las vulnerabilidades acreditadas (esto es, reportadas por alguien identificable, ya sea particular o empresa). En 2019, hemos analizado 621 vulnerabilidades acreditadas (hasta septiembre). 607 en 2018, 593 en 2017 y 310 en 2016 (solo cuenta desde abril). Esto hace un total de 2131 vulnerabilidades analizadas. De todas ellas hemos extraído su gravedad a través del CVSS oficial del NIST.

Este número no supone el total de fallos descubiertos cada mes ni cada año. En realidad, hemos contado además los fallos no acreditados directamente. Entendemos que la mayoría de estos fallos pueden venir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor (y no ha sido reportada de forma anónima). En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas” (que no es lo mismo que anónimas) se ve reflejada en la siguiente gráfica.
Resumen:
  • Google colabora en el reporte de vulnerabilidades en productos Microsoft con algo más de un 17% de todos los fallos. Aproximadamente un 25% de los fallos son reportados por la categoría “otros” que engloba pequeñas empresas que no suelen reportar a menudo, o analistas independientes.
  • El tercer puesto es para la propia Microsoft que corrige algo más del 10% de sus propios fallos, y seguida muy de cerca por la china Qihoo 360 que encuentra, sin embargo, fallos más graves que Microsoft.
  • NCSC, iDefense y Check Point suelen reportar vulnerabilidades con una gravedad por encima del 5. A casi la mitad en general se les otorga una gravedad de 8.
  • En 2017 y 2018, Google lideró el número de vulnerabilidades solucionadas en productos Microsoft. Desde 2016, los fallos encontrados por la propia Microsoft han ido en aumento; pero durante el 2019 Qihoo 360 y ZDI han encontrado un gran número de vulnerabilidades.
  • Apenas un 2% de las vulnerabilidades acreditadas son de gravedad máxima.
  • En 2016, un 25% de las vulnerabilidades no se atribuyeron a nadie en particular. En 2019 (hasta septiembre), tan solo un 9% de las vulnerabilidades no tuvieron un autor determinado. Esto puede indicar que se ha mejorado el número de fallos que se encuentran de forma responsable.
Podemos concluir que la mayoría de vulnerabilidades encontradas en Microsoft (cuya mayoría tiene una gravedad de 8), son encontradas por cuatro principales actores: Google, Qihoo, ZDI (que aglutina a investigadores independientes) y la propia Microsoft. En los últimos años, se han invertido los papeles, y Google y Microsoft han cedido el puesto a ZDI y Qihoo. También llama la atención el importante descenso de vulnerabilidades no acreditadas (encontradas y reportadas de forma no responsable). De un 25% en 2016 a apenas un 9% en 2019, lo que implica una mejor gestión de los fallos, precisamente a través de plataformas como ZDI, donde se compensa a los investigadores y se les motiva a que los fallos se reporten de forma responsable.


Comentarios

Publicar un comentario

Entradas populares de este blog

Cloudfare hace pública la causa que provocó la interrupción de servicio de cientos de webs durante el día de ayer: no fue un ciberataque

Imagen
 La compañía tenía previsto un mantenimiento en el que un cambio de permisos en los sistemas de su base de datos provocó la modificación de un fichero clave. En menos de 24 horas Cloudfare ha detectado y subsanado la causa de la incidencia Cloudfare   Fueron muchos los usuarios que en el día de ayer notaron que algo no funcionaba bien, que había algún problema en la red, ya que En torno al mediodía se acentuó una situación que   impedía acceder a sitios tan populares   como   la red social ‘X’, la plataforma de pago Paypal, o el asistente de inteligencia artificial ChatGPT , entre muchos otros servicios A buen seguro a muchos la mente les llevó a un   problema en materia de seguridad en línea , tal vez a una acción coordinada. Algo plausible si tenemos en cuenta que se trata del   tercer país más afectado por ciberataques , si bien el paso de las horas ha sido el encargado de esclarecer la cuestión al tiempo que la propia compañía afectada ha arrojado ...
Leer más

Redefiniendo el Riesgo Inherente: Un Enfoque Coherente para la Gestión de Riesgos y Cumplimiento

Imagen
En el libro Diez errores filosóficos, Mortimer Adler analiza errores que en su momento pasaron desapercibidos y que luego tuvieron vastas implicaciones. El concepto de riesgo inherente, tal como se aplica actualmente en la gestión de riesgos, creo que es uno de esos errores conceptuales que podríamos haber evitado y que aún podemos reorientar. Este artículo propone su reemplazo por un concepto coherente con temas largamente estudiados en el pensamiento contemporáneo, y la incorporación de un vocabulario más moderno y apropiado que facilite la convergencia entre la gestión de riesgos y de cumplimiento para optimizar recursos, mejorar la comunicación y permitir una evaluación más precisa de los riesgos organizacionales. I. Empecemos por el principio: ¿En qué consiste la esencia de la manzana? En artículos anteriores he explorado el concepto de riesgo en varios contextos y el más relevante para el tema de hoy, “¿Que queremos decir realmente cuando hablamos de Riesgo?” lo puedes encon...
Leer más

The Hackers Labs: ¡120 retos de hacking GRATIS y en ESPAÑOL!

Imagen
    Todos hablan de   Hack The Box ,   Try Hack Me   o   PortSwigger Academy … Pero no todo el mundo sabe que existe una plataforma española con más de 120 retos prácticos y 300 desafíos:   The Hackers Labs La plataforma líder en entrenamiento de ciberseguridad, soluciones empresariales y desafíos prácticos de hacking diseñados por expertos de la industria. Y lo mejor de todo: ¡Todo es completamente gratis!¡Ponte a prueba, aprende y compite con la comunidad hacker! 7 certificaciones mapeadas, 15 técnicas de ataque y defensa. Detrás de The Hackers Labs está   Manuel Martínez   ( Curiosidades De Hackers ), su fundador, investigador, Pentester, bug bounty hunter y creador de herramientas ofensivas, hoy comparte todo ese conocimiento gratis con la comunidad. Laboratorios diseñados para aprender de forma práctica Escenarios variados: Web, AD, Pivoting, OSINT, Android, Reversing e IA Casos realistas: phishing, Docker, Jenkins, EternalBlue, Grafana ...
Leer más