El exploit fue encontrado por el equipo de seguridad de Google Project Zero.

Un investigador de seguridad descubrió que los productos de seguridad de Trend Micro se envían con un programa de depuración remota que los atacantes podrían explotar para ejecutar arbitrariamente el código.

Tavis Ormandy, miembro del equipo Google Project Zero, señaló que los productos de Trend Micro Máxima Seguridad, Seguridad Premium y Administrador de contraseñas, al ser instalados corrieron remotamente en Node.js que hace la depuración del código auxiliar automáticamente.

Ormandy comentó que era “realmente fácil” explotar el depurador remoto con unas pocas líneas de código Javascript. Él proporcionó pruebas de concepto en las que ejecutó calc.exe a través de Javascript como un subproceso del Administrador de Contraseñas de Trend Micro. Por su parte, Trend Micro atribuyó el problema de seguridad a un módulo de terceros.

Dado que el módulo de terceros no es fácilmente modificable, Trend Micro inicialmente lanzó una actualización temporal y pidió más tiempo para que los desarrolladores de la compañía pudieran “abrir la fuente de código y desactivar el puerto de depuración”, y reintegrar la utilidad de sus productos, aseguró Ormandy.

El investigador analizó el parche temporal y expresó su preocupación por la calidad, pues encontró casos extremos donde se dejó de impedir que el depurador sea utilizado para ejecutar código arbitrario en los sistemas de los usuarios de forma remota.