O Patch Tuesday da Microsoft, um lançamento mensal de patches de software para vários produtos Microsoft, celebrou seu 20º aniversário em 2023. A Tenable Research monitorou mensalmente os dados do Patch.
Satnam Narang, engenheiro sênior de Pesquisa da Tenable, examinou os dados mensais. Confira a análise:
Para 2023, a Microsoft corrigiu 909 CVEs, um ligeiro declínio de 0,87% em relação a 2022, em que foram corrigidas 917 CVEs. Desde 2017, os lançamentos do Patch Tuesday seguiram uma tendência ascendente, atingindo o pico em 2020 com 1.245 CVEs corrigidas. Nos últimos três anos, o Patch Tuesday apresentou tendência de queda desde o seu pico, estabilizando e seguindo em direção à média da linha de base, que é de 862 CVEs por ano.
O mês de pico do Patch Tuesday em 2023 foi julho, quando a Microsoft corrigiu 130 CVEs. Apenas dois meses viram mais de 100 CVEs corrigidas (julho, outubro). Na outra ponta, em quatro meses a Microsoft corrigiu menos de 60 CVEs (maio, setembro, novembro, dezembro).
Patch Tuesday 2023 por Gravidade
Todos os meses, a Microsoft categoriza as vulnerabilidades em quatro níveis principais de gravidade: baixo, moderado, importante e crítico.
Em 2023, a maioria das vulnerabilidades foi classificada como importante, representando 90% de todos os CVEs corrigidos, seguida pelas críticas com 9,6%. As vulnerabilidades moderadas e baixas combinadas representaram apenas 0,4% de todos as CVEs corrigidas.
Esses números são relativamente consistentes com os números de 2022, quando a Microsoft corrigiu 831 CVEs importantes, que representaram 90,2%, enquanto vulnerabilidades críticas representaram 85 CVEs ou 9,2%.
Conforme observado anteriormente, julho de 2023 foi o mês de pico de patches, com 130 CVEs resolvidas: nove críticas e 121 importantes.
Patch Tuesday 2023 por Impacto
Além dos níveis de gravidade, a Microsoft também categoriza as vulnerabilidades em sete níveis de impacto: execução remota de código (RCE), elevação de privilégio (EoP), negação de serviço (DoS), divulgação de informações, spoofing, desvio de recursos de segurança e adulteração.
Em 2023, a maioria das vulnerabilidades corrigidas pela Microsoft caiu na categoria RCE, representando 36%, seguida por vulnerabilidades EoP com 26%. As vulnerabilidades de divulgação de informações representaram 12,5% das vulnerabilidades corrigidas. Apesar de ter uma categoria para isso, a Microsoft não rotulou nenhuma vulnerabilidade como Adulteração.
Todos os meses, as vulnerabilidades RCE e EoP lutaram pelo primeiro lugar, pois ambas combinadas representaram quase dois terços de todas as vulnerabilidades corrigidas em 2023.
Patch Tuesday 2023 Vulnerabilidades Zero Day
Ao analisar os lançamentos do Patch Tuesday, um dos fatores importantes é a presença de Zero Day. Estas vulnerabilidades são definidas por aquelas que foram exploradas e/ou divulgadas publicamente antes da disponibilização dos patches. Em 2023, a Microsoft lançou patches para 23 vulnerabilidades Zero Day. Para esta contagem, não incluímos uma atualização do Defense In Depth (ADV230003) de agosto por se tratar de uma correção para uma vulnerabilidade divulgada em julho de 2023, que já foi contabilizada.
Das 23 vulnerabilidades Zero Day corrigidas em 2023, mais da metade (52,2%) eram falhas de elevação de privilégio (EoP). As vulnerabilidades EoP são frequentemente aproveitadas por agentes de ameaças persistentes avançadas (APT) e por cibercriminosos determinados que procuram elevar privilégios como parte da atividade pós-comprometimento. Após as falhas EoP, as vulnerabilidades de desvio de recursos de segurança representaram 26,1% dos Zero Days em 2023. Essas duas categorias combinadas representam mais de três quartos (78,3%) de todas os Zero Days em 2023. Embora as RCEs (execução remota de código) tenham sido as vulnerabilidades mais proeminentes no Patch Tuesday, elas representaram apenas 4,3% das falhas Zero Day.
Alguns dos Zero Days mais notáveis divulgadas durante os lançamentos do Patch Tuesday em 2023 incluem a CVE-2023-23397, uma vulnerabilidade EoP no Microsoft Outlook que foi explorada por um grupo russo de ameaças persistentes avançadas (APT) conhecido como APT28 ou Forest Blizzard. Apesar de ter sido corrigido em março, os investigadores da UNIT 42 observaram uma campanha recentemente, em outubro de 2023, aproveitando esta falha.
Pelo menos dois Zero Days foram observados sendo explorados por grupos de ransomware, incluindo a CVE-2023-24880 pelo grupo de ransomware Magniber e a CVE-2023-28252 pelo grupo de ransomware Nokoyawa. A CVE-2023-24932 foi observada no bootkit BlackLotus UEFI para ignorar a inicialização segura, enquanto a CVE-2023-36884 foi utilizada por outro ator de ameaça baseado na Rússia, conhecido como Storm-0978, para distribuir o backdoor RomCom. Finalmente, uma vulnerabilidade no protocolo HTTP/2, a CVE-2023-44487, também conhecida como Rapid Reset, foi usada para conduzir ataques distribuídos de negação de serviço (DDoS) de agosto a outubro. Os detalhes dos outros Zero Days divulgados em 2023 não foram divulgados.
Por fim, o especialista conclui que lançamentos de software como o Patch Tuesday com uma cadência esperada, como aqueles que acontecem todos os meses, foram criados para ajudar os defensores a se prepararem para patches de segurança. Apesar desta cadência de lançamento, as vulnerabilidades conhecidas continuam a assombrar as organizações durante meses ou anos, o que significa que ainda há mais trabalho a ser feito.
Olhando para o Patch Tuesday de 2023, vemos que o volume de CVEs corrigidas estava alinhado com os números de 2022 e permaneceu longe do pico em 2020. Apesar dos números gerais, o Patch Tuesday em 2023 ainda foi agitado devido à presença de diversas falhas Zero Day e de diversas vulnerabilidades críticas em diversos produtos da Microsoft.
