Windows 10 y la vuelta atrás de Microsoft

Microsoft acaba de anunciar que con la llegada de Windows 10 las actualizaciones de seguridad, que se publican de forma periódica los segundos martes de cada mes, llegarán a los sistemas de los usuarios (PCs, tabletas y teléfonos) tan pronto estén disponibles.

Si bien este cambio solo se aplicará a los usuarios domésticos. Los usuarios corporativos podrán para aprovechar el nuevo "Windows Update for Business", un servicio gratuito para todos los dispositivos Windows Pro y Windows Enterprise, que permitirá a los administradores adoptar el sistema de actualización temprana de los usuarios domésticos.

Según el anuncio realizado en la conferencia Ignite de Microsoft, la compañía planea distribuir los parches a los usuarios de Windows 10 tan pronto como estos estén disponibles (en forma de 24/7). Esto claramente reducirá el tiempo que los ordenadores quedan vulnerables a nuevas amenazas. Se verán beneficiados por este nuevo sistema todos los dispositivos que ejecuten Windows 10, ya sean PCs, tabletas o teléfonos inteligentes.

Vuelta a los orígenes

Hace 14 años Microsoft introdujo su estrategia STPP, dentro de la cual se incluyó la muy polémica distribución de parches mensual. De esta forma, en 2003 empezaron a publicarse todas las actualizaciones de forma mensual. Así Microsoft conseguía librarse de golpe de las múltiples críticas que recibía, cada dos por tres, por la publicación continua de nuevos parches. Algo que sin duda dificulta la labor a los profesionales y es poco práctico para los usuarios finales que no tienen porqué estar pendientes continuamente de las actualizaciones.

Microsoft optó por simplificar el problema y reducirlo a lo absurdo: si no quieren muchos parches pequeños de forma periódica, daremos uno grande una vez al mes. La información sobre las actualizaciones de Microsoft se veía reducida de esta forma a una vez al mes. El impacto mediático también se veía reducido.

Esta medida fue duramente criticada en su momento en Hispasec, de hecho en aquel momento se veía más como un movimiento de márketing que algo realmente pensado en la seguridad de los usuarios.

El tiempo y la cantidad de compañías que han adoptado la política de distribución de parches de Microsoft (Adobe, Oracle…) parecía que habían dado la razón a Microsoft. Algunas adoptando incluso el mismo día para la publicación de sus actualizaciones. Lo cual, en la actualidad, puede convertir algunos segundos martes de mes en un verdadero infierno de actualizaciones para un administrador.

Finalmente las empresas y los usuarios finales, parece que habían aceptado el modelo de distribución de actualizaciones de forma mensual. Ahora Microsoft vuelve a sus orígenes y volverá a publicar los parches según estén disponibles. Pero esta vuelta atrás, no hace sino pensar que durante más de 12 años nos ha tenido engañados haciéndonos pensar que la distribución de parches mensual era el modelo más beneficioso para todos. ¿Por qué lo que antes era malo ahora es bueno?

Aunque como se indica esta nueva política solo afecta a los usuarios finales, y no a las empresas y corporaciones. Ahí puede estar gran buena parte de la diferencia, en una gran corporación con múltiples sistemas, instalaciones y plataformas, sí puede ser necesaria una cierta planificación para la instalación de los parches. Planificación que evidentemente no necesitan los usuarios finales, y que actualizarán su sistema en el momento que más les convenga, por ejemplo para realizar el casi obligado reinicio en cualquier actualización.

Pero según se plantea esta nueva política de distribución, ahora se abre otra clara problemática, los usuarios finales podrán recibir actualizaciones mucho antes que una corporación. Lo cual en esta ocasión abre una ventana de tiempo entre que una vulnerabilidad es parcheada en un sistema doméstico y que esa misma corrección esté disponible para un entorno corporativo.

Con un problema adicional. Como es sabido muchos exploits ven la luz en base a un análisis de ingeniería inversa sobre los parches una vez que son publicados, algo conocido como "Patch tuesday, exploit wednesday". ¿En qué medida una actualización publicada para un sistema doméstico, no podrá emplearse para conseguir un exploit que permita atacar empresas aun sin parchear y sin siquiera la posibilidad de obtener ese parche?


Es posible que aun quede mucho por aclarar sobre esta nueva política de distribución de parches. Pero esperamos que se aclararen todas las dudas, que sea lo mejor para los usuarios y que al contrario de lo que ocurrió hace años, no quede lugar para la polémica.

Fuente: Hispasec

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos
Leer más

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS

Imagen
  Microsoft confirmó ayer que una interrupción de nueve horas el martes, que derribó e interrumpió varios servicios de Microsoft 365 y Azure en todo el mundo, fue provocada por un ataque de denegación de servicio distribuido (DDoS). Redmond dice que la interrupción afectó a Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview (incluidos Intune, Power BI y Power Platform), así como a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y Azure Portal. La compañía confirmó en una   declaración de mitigación   publicada hoy que la causa principal detrás de la interrupción de ayer fue un ataque DDoS, aunque aún no lo ha vinculado a un actor de amenaza específico. "Si bien el evento desencadenante inicial fue un ataque de denegación de servicio distribuido (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el im
Leer más