In nog geen zes maanden tijd hebben twee onderzoekers ruim 200 kwetsbaarheden in de beveiligingssoftware van beveiligingsbedrijf Trend Micro ontdekt waardoor een aanvaller in het ergste geval op afstand en zonder interactie van gebruikers computers volledig kon overnemen.

Sinds 29 juli vorig jaar rapporteerden onderzoekers Steven Seeley en Roberto Suggi Liverani 223 beveiligingslekken in 11 verschillende Trend Micro-producten. 194 daarvan zijn op afstand te gebruiken en alle kwetsbaarheden zijn zonder enige interactie van gebruikers uit te buiten. De onderzoekers zullen tijdens de Hack in the Box-conferentie in Amsterdam hun bevindingen presenteren.

Volgens de onderzoekers waren veel van de kwetsbaarheden "zeer eenvoudig" te vinden, waardoor Seeley zich afvraagt waarom het beveiligingsbedrijf ze zelf niet heeft ontdekt. Eén van de ergste problemen vonden de onderzoekers in een product om dataverlies tegen te gaan. Via een kwetsbaarheid konden ze de server overnemen waarop de software draaide. Vervolgens konden ze kwaadaardige updates naar alle computers sturen die met de server verbonden waren.

"Op deze manier kun je het netwerk volledig overnemen als je de server hebt gehackt", zegt Seeley tegenover zakenblad Forbes. Een aanvaller moet in dit geval wel eerst toegang tot het netwerk zien te krijgen om de aanval uit te voeren. Een kwetsbaarheid in een ander Trend Micro-product genaamd InterScan maakte dit echter mogelijk.

Trend Micro zou snel op de bugmeldingen van de onderzoekers reageren. De updates laten echter soms ook te wensen over. Zo bleek één patch het beveiligingslek niet eens te verhelpen. "De patch was zo slecht, ik had hem eenvoudig kunnen omzeilen", aldus Seeley. Een aantal van de problemen is onlangs gerapporteerd en wacht nog op een update, zo blijkt uit het overzicht van het Zero Day Initiative. Dit initiatief betaalt hackers voor het melden van beveiligingslekken en is eigendom van Trend Micro.