Todd Schell: ¡Bienvenidos a 2025 y a un nuevo año de entusiasmo por los parches! En este artículo, hablé sobre la Iniciativa de futuro seguro ( SFI ) de Microsoft y cómo se manifestó en muchos de los productos de Microsoft lanzados en 2024. Si bien esta tendencia en tecnología de seguridad continuará en 2025, creo que también veremos algunos cambios importantes en las pautas sobre los requisitos de seguridad, las operaciones y otros aspectos asociados con nuestra industria.
Conjunto de actualizaciones de Microsoft
Microsoft lanzó un pequeño conjunto de actualizaciones que solo se aplicaban a Windows 10, Windows 11, Office y Sharepoint. No hubo actualizaciones de SSU independientes y solo una única actualización de la herramienta de desarrollo para Microsoft/Muzic, que es relativamente poco conocida. Las actualizaciones de Microsoft Windows abordaron 58 CVE en los sistemas operativos de estaciones de trabajo y servidores asociados.
Solo se divulgó públicamente CVE-2024-49138 y se supo que se había explotado. Probablemente haya notado que Microsoft suele limitar la cantidad de información que incluye en sus divulgaciones de CVE, como en el caso de esta CVE: “Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA”.
Si bien este puede ser el único CVE que se ha explotado activamente, existen preocupaciones sobre varios otros, incluidos CVE-2024-49113 y CVE-2024-49112, que se pueden encadenar y usar en controladores de dominio también para bloquear rápidamente otros servidores Windows. El artículo contiene una explicación de alto nivel y un enlace a la investigación detallada de SafeBreach sobre estas vulnerabilidades. La buena noticia es que demostraron la eficacia de la actualización de diciembre de Microsoft, así que asegúrese de estar al día con la aplicación de estos parches.
Instaladores .NET
Microsoft envió un anuncio crítico a los desarrolladores con un llamado a la acción para verificar la fuente de sus instaladores .NET. Según Microsoft, Edg,io pronto dejará de operar debido a la quiebra. “Es posible que los dominios azureedge.net tengan un tiempo de inactividad pronto. Esperamos que estos dominios se retiren de forma permanente en los primeros meses de 2025”. Microsoft proporciona los cambios que han realizado y las actividades de respuesta recomendadas como llamado a la acción.
Eventos importantes
Dos acontecimientos dignos de mención presagian el inicio de los próximos cambios en las directrices de ciberseguridad que mencioné anteriormente. El primer acontecimiento es un conjunto de enmiendas propuestas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés). La HIPAA se introdujo cuando se estaban «digitalizando» los registros médicos personales y se centraba en garantizar la privacidad del paciente y no la seguridad de los sistemas que gestionaban los documentos.
Los cambios propuestos tendrán un impacto significativo en la industria de la salud y harán que los requisitos de seguridad estén más en línea con los marcos de seguridad tradicionales . El segundo evento es la administración entrante de Trump 2.0 y su impacto en CISA y otras organizaciones federales. El presidente Trump firmó la legislación que creó CISA en 2018. El propósito de la nueva organización era proporcionar orientación sobre la defensa de la infraestructura estadounidense contra los ciberataques y trabajar con la industria comercial para mejorar la ciberdefensa.
Con el deseo declarado de la administración entrante de eliminar regulaciones para que la industria privada pueda avanzar más rápido, es posible que veamos algunos cambios en el tipo de orientación que proporcionará la CISA. Además, con el deseo declarado de que Estados Unidos sea un líder en tecnología de inteligencia artificial, es posible que veamos que la CISA se involucra más en ese aspecto de la seguridad basada en inteligencia artificial. El tiempo dirá cómo evoluciona esto. Estos son solo dos eventos recientes que darán lugar a nuevas directrices y probablemente afecten la forma en que llevamos a cabo las operaciones de seguridad, pero seguramente habrá más cambios en 2025.
Pronóstico de los martes de parches de enero de 2025
- Microsoft estará completamente actualizado después de las vacaciones, por lo que se esperan actualizaciones generalizadas para el sistema operativo, las herramientas para desarrolladores y las aplicaciones.
- Adobe proporcionó actualizaciones de seguridad para casi todos los productos de su cartera el martes pasado. Es posible que veamos algunas versiones menores la próxima semana, pero no esperes muchas.
- Apple también lanzó actualizaciones de seguridad para todos sus sistemas operativos y el navegador Safari el mes pasado. No esperes muchas actualizaciones en este aspecto tampoco.
- Vimos algunas actualizaciones tempranas y limitadas para Google Chrome y ChromeOS esta semana, así que espere anuncios de distribución generalizada la próxima semana.
- El 7 de enero, la Fundación Mozilla publicó actualizaciones de seguridad para todos sus productos. Se trataba de una combinación de actualizaciones de nivel alto y moderado con un máximo de 11 vulnerabilidades informadas en Firefox. Estas actualizaciones fueron Thunderbird ESR 128.6 y Thunderbird 134, Firefox ESR 115.1, Firefox ESR 128.6 y, por último, Firefox 134. Asegúrate de incluirlas en tu lista de actualizaciones del martes de parches si aún no las has implementado.
2025 podría ser un año de grandes transformaciones para nuestra industria con nuevos sistemas operativos Windows, tecnologías de inteligencia artificial y cambios en las directrices y operaciones de seguridad.
Fuente y redacción: helpnetsecurity.com
