Nuestro compromiso de proteger a los clientes de vulnerabilidades en nuestro software y nuestros servicios y dispositivos incluye el hecho de proporcionar actualizaciones de seguridad e indicaciones para solucionar las vulnerabilidades cuando se las notifican a Microsoft. También queremos ser transparentes con los investigadores de la seguridad y con nuestros clientes en cuanto al enfoque que seguimos. Este documento ayuda a describir los criterios que utiliza el Centro de respuestas de seguridad de Microsoft (MSRC) para determinar si una vulnerabilidad notificada que afecte a versiones actualizadas de Windows para las que se ofrece soporte técnico se puede solucionar con una operación de mantenimiento o en la próxima versión de Windows. Para las vulnerabilidades de Windows, el mantenimiento se lleva a cabo con una actualización de seguridad o indicaciones aplicables, que suelen publicarse el segundo martes de cada mes (Update Tuesday).

Criterios de mantenimiento de la seguridad

Los criterios que utiliza Microsoft para valorar si debe proporcionar indicaciones o una actualización de seguridad para una vulnerabilidad notificada incluyen responder a dos preguntas clave:
    1. ¿La vulnerabilidad infringe el objetivo o el propósito de una característica de seguridad?
    2. ¿La gravedad de la vulnerabilidad cumple los requisitos para una acción de mantenimiento?
Si la respuesta a las dos preguntas es afirmativa, la intención de Microsoft es solucionar la vulnerabilidad con indicaciones y/o una actualización de seguridad que se apliquen a las ofertas afectadas para las que se ofrece soporte técnico cuando sea comercialmente razonable. Si la respuesta a alguna de estas preguntas es negativa, de forma predeterminada se tiene en cuenta la vulnerabilidad para la próxima versión o compilación de Windows, pero no se soluciona con indicaciones o una actualización de seguridad, aunque puede haber excepciones.

En este documento se tratan las vulnerabilidades notificadas más comunes, pero, puesto que el panorama de la seguridad cambia continuamente, puede haber vulnerabilidades que no estén cubiertas por estos criterios, o bien los criterios pueden adaptarse debido a cambios en el panorama de amenazas. Microsoft soluciona las vulnerabilidades en función del riesgo que suponen para los clientes y, en cualquier momento, puede optar por solucionar (o no solucionar) las vulnerabilidades notificadas en función de la valoración del riesgo.

Límites y características de seguridad que son objeto de mantenimiento por parte de Microsoft

El software, los servicios y los dispositivos de Microsoft se basan en una serie de límites y características de seguridad, así como en la seguridad del hardware subyacente del que depende nuestro software, para lograr nuestros objetivos de seguridad.
Límites de seguridad
Un límite de seguridad proporciona una separación lógica entre el código y los datos de los dominios de seguridad que tienen diferentes niveles de confianza. Por ejemplo, la separación entre el modo kernel y el modo usuario es un límite de seguridad clásico y sencillo. El software de Microsoft depende de numerosos límites de seguridad para aislar los dispositivos de la red, las máquinas virtuales y las aplicaciones de un dispositivo. En la tabla siguiente se resumen los límites de seguridad que Microsoft ha definido para Windows.

Límite secundario

Objetivo de seguridad

¿Es objeto de mantenimiento?

¿Recompensa?

Límite de red

Un punto de conexión de red no autorizado no puede alterar ni acceder al código ni a los datos del dispositivo de un cliente.

Límite de kernel

Un proceso en modo de usuario no administrativo no puede alterar ni acceder al código ni a los datos del kernel. Administrador a kernel no es un límite de seguridad.

Límite de proceso

Un proceso en modo usuario no autorizado no puede alterar ni acceder al código ni a los datos de otro proceso.

Límite de espacio aislado de AppContainer

Un proceso de espacio aislado basado en AppContainer no puede alterar ni acceder al código ni a los datos que hay fuera del espacio aislado en función de las características del contenedor.

Límite de usuario

Un usuario no puede alterar ni acceder al código ni a los datos de otro usuario sin autorización.

Límite de sesión

Una sesión de inicio de sesión de un usuario no puede alterar ni acceder a la sesión de inicio de sesión de otro usuario sin autorización.

Límite de explorador web

Un sitio web no autorizado no puede infringir la directiva de mismo origen y tampoco puede alterar ni acceder al código nativo ni a los datos del espacio aislado del explorador web Microsoft Edge.

Límite de máquina virtual

Una máquina virtual invitada de Hyper-V no autorizada no puede alterar ni acceder al código ni a los datos de otra máquina virtual invitada. Esto incluye los contenedores aislados de Hyper-V.

Límite del modo de seguridad virtual (VSM)

El código que se ejecuta fuera de un trustlet o enclave del VSM no puede alterar ni acceder a los datos ni al código que hay dentro de ese trustlet o enclave.

Componentes que no son límites*

Algunos componentes y configuraciones de Windows no se han diseñado explícitamente para proporcionar un límite de seguridad sólido. Estos componentes se resumen en la tabla siguiente.

*Nota: La siguiente no es una lista exhaustiva y su finalidad es abordar dos componentes que suelen considerarse límites erróneamente. De forma predeterminada, los componentes no se consideran límites a menos que se indique explícitamente.

Componente

Explicación

Contenedores de Windows Server

Los contenedores de Windows Server proporcionan aislamiento de los recursos usando un kernel compartido, pero no están pensados para usarlos en escenarios multiinquilino hostiles. Los escenarios que implican un multiinquilinato hostil deben usar contenedores aislados de Hyper-V para aislar fuertemente a los inquilinos.

Administrador a kernel

Los procesos y usuarios administrativos se consideran parte de la base de computación de confianza (TCB) para Windows y, por tanto, no están fuertemente aislados del límite del kernel. Los administradores controlan la seguridad de un dispositivo y pueden deshabilitar características de seguridad, desinstalar actualizaciones de seguridad y realizar otras acciones que hagan que el aislamiento del kernel no sea efectivo.

Características de seguridad

Las características de seguridad se basan en los límites de seguridad para proporcionar una protección sólida frente a amenazas específicas. En algunos casos, el objetivo de la característica de seguridad es ofrecer protección frente a una amenaza y se espera que no haya ninguna limitación por diseño que impida que la característica logre su objetivo. Para las características de seguridad de esta categoría, la intención de Microsoft es solucionar las vulnerabilidades notificadas mediante acciones de mantenimiento, como se resume en la siguiente tabla.

Categoría

Características de seguridad

Objetivo de seguridad

¿Es objeto de mantenimiento?

¿Recompensa?

Seguridad de los dispositivos

BitLocker Los datos que están cifrados en el disco no se pueden obtener cuando el dispositivo está apagado.

Seguridad de los dispositivos

Arranque seguro Solo se puede ejecutar código autorizado en el proceso previo al arranque del SO, incluidos los gestores de arranque del SO, como se define en la directiva de firmware UEFI.

Seguridad de la plataforma

Protección del sistema de Windows Defender (WDSG) No se pueden ejecutar ni cargar archivos binarios que no tengan una firma correcta, conforme a la directiva de control de aplicaciones para el sistema. Las omisiones que aprovechan aplicaciones permitidas por la directiva no están dentro del ámbito del programa.

Seguridad de las aplicaciones

Control de aplicaciones de Windows Defender (WDAC) Solo se puede ejecutar código ejecutable que sea conforme a la directiva del dispositivo, incluidos los scripts ejecutados por hosts de scripts de Windows optimizados. Las omisiones que aprovechan aplicaciones permitidas por la directiva no están dentro del ámbito del programa. Las omisiones que requieren derechos administrativos no están dentro del ámbito del programa.

Identidad y control de acceso

Windows Hello/biometría Un atacante no puede usar técnicas de spoofing o phishing de suplantación de identidad, ni vulnerar credenciales de nueva generación para suplantar a un usuario.

Identidad y control de acceso

Control de acceso a recursos de Windows Una identidad (usuario, grupo) no puede alterar ni acceder a un recurso (archivo, canalización con nombre, etc.), a menos que esté explícitamente autorizada a ello.

API de criptografía: nueva generación (CNG).

Criptografía de la plataforma Los algoritmos se implementan conforme a una especificación (por ejemplo, NIST) y no filtran datos confidenciales.

Atestación de estado

Servicio de protección de host (HGS) Valorar la identidad y el estado de un llamador que emite o retiene informes de estado necesarios para operaciones criptográficas posteriores.

Protocolos de autenticación

Protocolos de autenticación Los protocolos se implementan conforme a una especificación y un atacante no puede alterar ni revelar datos confidenciales, ni suplantar a usuarios y conseguir privilegios elevados.

Características de seguridad de defensa en profundidad

En algunos casos, una característica de seguridad puede ofrecer protección frente a una amenaza sin poder proporcionar una defensa sólida. Estas características de seguridad suelen denominarse características de defensa en profundidad o mitigaciones, porque proporcionan seguridad adicional, pero pueden tener limitaciones por diseño que les impidan mitigar por completo una amenaza. La omisión de una característica de seguridad en profundidad no supone por sí misma un riesgo directo, porque un atacante debe haber encontrado también una vulnerabilidad que afecte a un límite de seguridad, o bien debe utilizar otras técnicas, como la ingeniería social, para llegar a la fase inicial de riesgo de un dispositivo.
 
En la tabla siguiente se resumen las características de seguridad de defensa en profundidad para las que Microsoft no ha establecido un plan de mantenimiento. Cualquier vulnerabilidad u omisión que afecte a estas características de seguridad no será objeto de una acción de mantenimiento de forma predeterminada, pero puede solucionarse en una versión o compilación futura. Muchas de estas características se mejoran continuamente en cada versión del producto y también están cubiertas por programas de recompensas por la detección activa de errores.
 
En algunos casos, las características de seguridad de defensa en profundidad pueden tener una dependencia que no cumpla los requisitos para una acción de mantenimiento de forma predeterminada. Por tanto, estas características de seguridad de defensa en profundidad tampoco cumplen los requisitos para una acción de mantenimiento de forma predeterminada. Un ejemplo de esto se puede ver en las máquinas virtuales blindadas, que dependen de que un administrador no pueda poner en riesgo el kernel, o un proceso de trabajo de una máquina virtual (VMWP) que tenga un indicador de proceso protegido (PPL). En este caso, no se lleva a cabo ninguna acción de mantenimiento para el escenario del administrador y el kernel ni para la tecnología PPL.

Categoría

Característica de seguridad

Objetivo de seguridad

¿Es objeto de mantenimiento?

¿Recompensa?

Seguridad del usuario

Control de cuentas de usuario (UAC) Impedir que se realicen cambios no deseados que afecten a todo el sistema (archivos, Registro, etc.) sin el consentimiento de un administrador. No No

Seguridad del usuario

AppLocker Impedir que se ejecuten aplicaciones no autorizadas. No No

Seguridad del usuario

Acceso controlado a carpetas Proteger el acceso a carpetas controladas y su modificación por parte de aplicaciones que pueden ser malintencionadas. No No

Seguridad del usuario

Marca de web (MOTW) Impedir la descarga activa de contenido de la Web con privilegios elevados cuando se ve de forma local. No No

Mitigaciones de vulnerabilidades

Prevención de ejecución de datos (DEP) Un atacante no puede ejecutar código desde una memoria no ejecutable, como un montón o una pila. No

Mitigaciones de vulnerabilidades

Selección aleatoria del diseño del espacio de direcciones (ASLR) El diseño del espacio de direcciones virtuales de un proceso no es predecible para un atacante (en la versión de 64 bits). No

Mitigaciones de vulnerabilidades

Selección aleatoria del diseño del espacio de direcciones del kernel (KASLR) El diseño del espacio de direcciones virtuales del kernel no es predecible para un atacante (en la versión de 64 bits). No No

Mitigaciones de vulnerabilidades

Protección de código arbitraria (ACG) Un proceso con ACG habilitado no puede modificar páginas de código ni asignar páginas de código privadas nuevas. No

Mitigaciones de vulnerabilidades

Protección de la integridad del código (CIG) Un proceso con CIG habilitado no puede cargar directamente una imagen ejecutable (DLL) con una firma incorrecta. No

Mitigaciones de vulnerabilidades

Protección de flujo de control (CFG) El código protegido con CFG solo puede realizar llamadas indirectas a destinos de llamada indirecta válidos. No No

Mitigaciones de vulnerabilidades

Restricción de procesos secundarios Con esta restricción habilitada, no se pueden crear procesos secundarios. No

Mitigaciones de vulnerabilidades

SafeSEH/SEHOP La integridad de una cadena de controladores de excepciones no se puede subvertir. No

Mitigaciones de vulnerabilidades

Selección aleatoria del montón y protección de los metadatos La integración de los metadatos de montones no se puede subvertir y el diseño de las asignaciones de montones no es predecible para un atacante. No

Mitigaciones de vulnerabilidades

Protección contra vulnerabilidades de seguridad de Windows Defender (WDEG) Permitir que las aplicaciones habiliten más características de mitigación de vulnerabilidades de defensa en profundidad que dificulte el aprovechamiento de vulnerabilidades. No No

Bloqueo de la plataforma

Indicador de proceso protegido (PPL) Impedir que procesos sin protección PPL no administrativos alteren o accedan al código y los datos de un proceso con protección PPL a través de funciones de proceso abiertas. No No

Bloqueo de la plataforma

Máquinas virtuales blindadas Ayudar a proteger los secretos de una máquina virtual y sus datos frente a administradores de tejido malintencionados o malware que se ejecute en el host con ataques en tiempo de ejecución y sin conexión. No No