¿Qué es el martes de parches de Microsoft?

Si es usuario de una computadora con Windows, probablemente esté familiarizado con las ventanas emergentes o notificaciones habituales que le indican que su dispositivo debe reiniciarse para completar la instalación de las actualizaciones; o indicarle que programe el reinicio para un momento más conveniente. Microsoft suele publicar estas actualizaciones en un día especial que se conoce comoMartes de parches.

Patch Tuesday (también conocido como Update Tuesday) es un término informal que se utiliza para referirse a cuando Microsoft lanza periódicamente parches de software para sus productos de software, como el sistema operativo Windows, Microsoft Office y otras aplicaciones de software de Microsoft. El martes de parches ocurre el segundo y, a veces, el cuarto martes de cada mes en América del Norte.

Microsoft no tiene una fecha garantizada para el lanzamiento de estos parches. Pero el patrón a lo largo de los años es que las actualizaciones generalmente llegan alrededor de las 10 a. m., hora estándar del Pacífico (UTC-8), pero es posible que se publiquen más tarde ese mismo día. Las actualizaciones aparecen en el Centro de descarga antes de agregarlas a Windows Update (WU). Estos parches se lanzan para corregir errores en su aplicación de software que podrían provocar vulnerabilidades y mejorar la seguridad de las aplicaciones de Microsoft. La mayoría de esas vulnerabilidades son encontradas por investigadores externos que las reportan responsablemente a Microsoft a través del Programa de recompensas por errores de Microsoft . Centro de respuesta de seguridad de Microsoft investiga las vulnerabilidades reportadas y proporciona soluciones para ayudar a mitigar los riesgos de seguridad.

La idea principal detrás de Patch Tuesday es hacer que el proceso de actualización sea lo más predecible posible para evitar que los administradores de Windows tengan que luchar para lidiar con las actualizaciones publicadas de manera irregular. Esto les permite hacer planes para probarlos e instalarlos. Otras empresas como Adobe y Oracle han adoptado el mismo calendario de martes de parches para facilitar la gestión de parches a los administradores de sistemas.

Las actualizaciones más pequeñas suelen publicarse en otros momentos (fuera de banda), especialmente si son urgentes y críticas.

Publicación relacionada: Las mejores herramientas de gestión de piezas

Cómo empezó todo

Windows 98 fue el primer sistema operativo de Microsoft que presentó la opción de verificar e instalar actualizaciones del sistema operativo. Durante ese período, las actualizaciones para los productos de Microsoft se lanzaron de manera irregular y en momentos aleatorios hasta octubre de 2003, cuando se eligió el segundo martes del mes como “día de actualización”, lo que se convirtió en lo que ahora se conoce en la industria como Patch Tuesday.

El proceso de publicar y distribuir estos parches de software de manera irregular le cuesta a Microsoft y a las organizaciones mucho dinero, tiempo y esfuerzo, especialmente a las organizaciones con una gran cantidad de máquinas con Windows. Puede imaginar el tiempo que puede llevar actualizar manualmente cada máquina con Windows por separado. Microsoft introdujo el “Martes de parches” para reducir el costo de distribución de parches. El nuevo enfoque permite que los parches de seguridad se acumulen durante un mes y los envía todos el segundo martes de cada mes.

Antes de la llegada del martes de parches, las actualizaciones se publicaban cuando estaban listas (se enviaban cuando estaban listas) sin previo aviso ni anuncio. Si bien esto permitió que las correcciones se implementaran casi de inmediato, era una carga para los administradores y usuarios de Windows que a veces tenían que reiniciar sus computadoras varias veces para aplicar nuevas actualizaciones, en lugar de solo un reinicio para aplicar una actualización acumulativa.

Según Microsoft, se eligió el martes por dos motivos:

• Proporcionar a los usuarios un día (lunes) para solucionar problemas inesperados que puedan haber surgido durante el fin de semana anterior.
• Para darles a los usuarios suficiente tiempo para probar las actualizaciones e implementarlas en los dispositivos, luego responder a cualquier problema que pueda surgir durante el resto de la semana.

¿Por qué es importante?

Patch Tuesday se ha convertido en un gran problema para los usuarios y administradores de Windows. Obtener las últimas actualizaciones de seguridad para sus computadoras de escritorio y servidores debería ser algo que espere con ansias cada mes. Estas actualizaciones son importantes y críticas para el estado general de sus sistemas y servidores. Se anima a todas las organizaciones a aplicar parches el martes de parches. ¿Porque es esto importante?

Las actualizaciones de software son importantes para la salud general de sus sistemas. Una seguridad sólida es vital para todas las organizaciones, en particular aquellas que utilizan sistemas que almacenan o tienen acceso a datos confidenciales, como información personal. Es probable que los sistemas operativos y otras aplicaciones que no estén actualizados se vuelvan vulnerables a los ciberataques. Los atacantes a menudo explotan sistemas obsoletos: explotan vulnerabilidades para las cuales hay parches disponibles pero no aplicados. Por este motivo, Microsoft recomienda que los clientes den prioridad a la aplicación de parches. Los parches pueden corregir posibles errores y agujeros de seguridad y, al mismo tiempo, aumentar la eficiencia de los sistemas operativos y las aplicaciones de software que se ejecutan en ellos.

Las actualizaciones de seguridad más importantes y los parches para corregir errores o vulnerabilidades críticas se lanzan el martes de parches. Incluso las vulnerabilidades de día cero también se solucionan durante el martes de parches, a menos que la vulnerabilidad sea crítica y esté altamente explotada, en cuyo caso se lanza una actualización de seguridad fuera de banda para abordar esa vulnerabilidad en particular. Muchos eventos de explotación se observan poco después del lanzamiento de un parche. De hecho, el día después del martes de parches a menudo se conoce como miércoles de explotación. Los atacantes han descubierto una manera de aplicar ingeniería inversa a los parches para identificar las vulnerabilidades subyacentes y luego crear métodos para explotar la vulnerabilidad. Luego aprovechan esta oportunidad para atacar computadoras que no han actualizado los parches del día anterior.

Fue la falta de parches lo que permitió al Ataque de ransomware WannaCry que tuvo lugar en mayo de 2017 se propague tan rápidamente. Si bien Microsoft había lanzado parches anteriormente para cerrar la vulnerabilidad WannaCry, gran parte de su propagación procedía de organizaciones que no habían aplicado el parche o que utilizaban sistemas Windows más antiguos que ya habían llegado al final de su vida útil. Estos parches son fundamentales para la ciberseguridad de una organización, pero muchos no se aplicaron debido a la necesidad de no interrumpir la operación.

¿Cómo sabes lo que se está publicando?

Microsoft publica actualizaciones relacionadas con la seguridad para Windows (ediciones de escritorio y de servidor), Office y productos relacionados el segundo martes de cada mes. El cuarto martes de cada mes está reservado para actualizaciones que no están relacionadas con la seguridad. Ocasionalmente, Microsoft lanza lo que se llama una actualización 'fuera de banda' (actualización publicada en un día fuera de la rutina normal de actualización de los martes) para problemas críticos de seguridad. Normalmente, esto ocurre sólo cuando un problema de seguridad es extremadamente grave y está siendo explotado activamente en la naturaleza.

El martes de parches también se conoce en Microsoft como la versión 'B', para distinguirlo de las versiones 'C' y 'D' que ocurren en la tercera y cuarta semana del mes, respectivamente. Las versiones 'C' y 'D' contienen solo actualizaciones no relacionadas con la seguridad y están destinadas a brindar visibilidad y prueba de las correcciones no relacionadas con la seguridad planificadas para la versión del martes de actualización del próximo mes. Estas actualizaciones luego se envían como parte de la versión “B” o actualización del martes del mes siguiente.

Cada actualización de seguridad publicada por Microsoft (ya sea el martes de parches o como versión fuera de banda) va acompañada de Avisos y boletines de seguridad que son publicados por el Centro de respuesta de seguridad de Microsoft (MSRC) aproximadamente al mismo tiempo que se publican las actualizaciones. El MSRC publica estos documentos como parte del esfuerzo continuo para ayudar a los usuarios a gestionar los riesgos de seguridad y mantener sus sistemas protegidos. Los avisos y boletines de seguridad constan de los siguientes elementos clave:

• Resúmenes de boletines de seguridad : proporcione una descripción general de alto nivel de los boletines de seguridad que publica MSRC cada mes. Los resúmenes brindan información para ayudar a los usuarios a priorizar las actualizaciones de seguridad mensuales.
• Boletines de seguridad : proporcione una descripción de la mitigación disponible, así como artículos de la base de conocimientos (KB) que contengan más información sobre las actualizaciones.
• Avisos de seguridad : abordar los cambios de seguridad que pueden no requerir un boletín de seguridad pero que aún pueden afectar la seguridad general de los usuarios. Cada aviso va acompañado de un artículo de Microsoft KB para proporcionar información adicional sobre las actualizaciones que se entregan con el lanzamiento del aviso.
• Avisos de investigación de vulnerabilidades de Microsoft (MSVR) : Describa las vulnerabilidades de seguridad que Microsoft o investigadores externos descubrieron en productos de terceros y que Microsoft ha revelado a los proveedores afectados.

Las vulnerabilidades se describen mediante un sistema de identificación conocido como Vulnerabilidades y Exposiciones Comunes (CVE). CVE como CVE-2021-31184 y CVE-2021-30540 son identificadores únicos y comunes de vulnerabilidades de seguridad de la información conocidas públicamente en paquetes de software publicados públicamente. Los detalles de cada paquete de parches variarán según los problemas de seguridad que se aborden; los detalles de cada paquete de parches se pueden encontrar visitando Guía de actualización de seguridad MSRC de Microsoft .

¿Cómo saber qué actualizaciones son las más críticas?

No todas las vulnerabilidades son iguales en términos de gravedad y nivel de riesgo asociado. Para ayudar a los usuarios a comprender el riesgo asociado con cada vulnerabilidad parcheada, Microsoft publicó un sistema de clasificación de gravedad que califica cada vulnerabilidad de acuerdo con el peor resultado teórico si esa vulnerabilidad fuera explotada. Las clasificaciones de gravedad se describen a continuación:

• Crítico : Una vulnerabilidad marcada como 'Crítica' significa que su explotación podría conducir a la ejecución de código sin interacción del usuario. Los ejemplos incluyen malware que se propaga automáticamente, como los gusanos. Microsoft recomienda que los usuarios apliquen las actualizaciones críticas inmediatamente cuando se publiquen.
• Importante : Una vulnerabilidad marcada como “Importante” significa que su explotación podría comprometer la confidencialidad, disponibilidad o integridad (CIA) de los datos del usuario. Los ejemplos incluyen ataques de denegación de servicio como ransomware y otro malware que roba nuestros datos. Microsoft recomienda que los usuarios apliquen actualizaciones importantes lo antes posible.
• Moderado : Una vulnerabilidad marcada como 'Moderada' significa que su impacto se mitiga en gran medida por factores como los requisitos de autenticación o la aplicabilidad solo a configuraciones no predeterminadas. Microsoft recomienda que los usuarios consideren aplicar la actualización de seguridad.
• Bajo : Una vulnerabilidad marcada como “Baja” significa que su impacto está mitigado por las características del componente afectado. Este tipo de vulnerabilidad normalmente requiere una interacción extensa o una configuración inusual. Microsoft recomienda que los usuarios evalúen si aplicar la actualización de seguridad a los sistemas afectados.

La calificación de la gravedad de una vulnerabilidad es diferente de su probabilidad de ocurrencia. Para evaluar la probabilidad de ocurrencia, el Índice de explotabilidad de Microsoft proporciona información adicional sobre la probabilidad de que se aproveche una vulnerabilidad abordada en una actualización de seguridad de Microsoft. Microsoft recomienda que los administradores de sistemas evalúen sus propios entornos y tomen decisiones sobre qué actualizaciones son necesarias para mantener sus sistemas protegidos.

Factores de riesgo y posible mitigación

Por muy importante que sea la aplicación de parches el martes de parches para la salud general de los sistemas informáticos y los servidores, no está exenta de desafíos y riesgos, especialmente para las organizaciones con una gran cantidad de sistemas Windows y aplicaciones personalizadas. A muchas organizaciones les molesta aplicar parches los martes de parches debido a los riesgos asociados.

Las actualizaciones del martes de parches se consideran una fuente de dolor de cabeza para la mayoría de los administradores de Windows debido a su potencial de causar más problemas y complicaciones. En ocasiones, los parches son incompatibles con software de terceros o incluso con el propio software de Microsoft, lo que puede provocar un mal funcionamiento del sistema y tiempos de inactividad. Cuando se observa el panorama de amenazas actual, los ataques de día cero han aumentado exponencialmente en los últimos años, tanto en velocidad como en sofisticación, como lo demuestran los bien establecidos ataques 'Exploit Wednesday'.

Según Christopher Budd (ex empleado del Centro de Respuesta de Seguridad de Microsoft), “cuando Microsoft comenzó a alejarse del modelo de 'enviar cuando esté listo', hubo muchas críticas de que estábamos dejando a las personas vulnerables a los ataques por más tiempo del necesario”— especialmente cuando hay una situación de día cero y la gente clama por un lanzamiento “fuera de banda”. 'En esas situaciones, los beneficios de un proceso estructurado chocan con el problema del mayor tiempo que una vulnerabilidad está abierta al ataque'. Esto generalmente resulta en una ventana de exposición más larga: el período de tiempo entre la publicación de una vulnerabilidad y la disponibilidad de un parche.

El martes de parches también puede afectar el ancho de banda de Internet de una organización si no se maneja adecuadamente. Esto es especialmente notable en entornos donde muchas máquinas recuperan actualizaciones de forma discreta a través de una conexión compartida con ancho de banda limitado, como las que se encuentran en muchas redes de grupos de trabajo o en algunas pequeñas y medianas empresas. Entonces, ¿cómo lidiamos con estos factores de riesgo?

En primer lugar, como administrador de Windows, se recomienda probar los parches en un entorno de laboratorio o sandbox y asegurarse de que sean compatibles con sus sistemas antes de aplicarlos a los sistemas de producción. Además, Microsoft proporciona una herramienta llamada Servicios de actualización de Windows Server (WSUS) que se puede utilizar para proporcionar una implementación controlada de parches. Esto facilita la gestión de la implementación de parches en su entorno de prueba y producción.

Para minimizar el impacto en el ancho de banda de Internet de una organización, se puede utilizar la herramienta WSUS para distribuir las actualizaciones localmente. Esto reducirá significativamente las demandas de ancho de banda para parchear una gran cantidad de computadoras. Además de WSUS, las computadoras con Windows 10 pueden “compartir” actualizaciones de igual a igual con otras computadoras con Windows 10 en la red local, o incluso con computadoras con Windows 10 en Internet. Esto ayuda a garantizar que las actualizaciones se distribuyan más rápido y, al mismo tiempo, reduce el uso de redes con una conexión medida.