Zero Day Initiative van Trend Micro viert twintigjarig bestaan
Het Zero Day Initiative (ZDI), een onafhankelijk programma voor het melden van softwarekwetsbaarheden, bestaat twintig jaar. Sinds de oprichting in 2005 heeft het initiatief bijgedragen aan het verantwoord openbaar maken van beveiligingslekken door onderzoekers wereldwijd te belonen voor het vinden en rapporteren van kwetsbaarheden.
Volgens onderzoek van Omdia heeft het ZDI in 2024 geholpen bij het verantwoord melden van 73 procent van alle ontdekte kwetsbaarheden – een aandeel dat groter is dan dat van alle andere deelnemende leveranciers samen. Het programma zorgt ervoor dat klanten van Trend Micro beschermd worden tegen zero-day-kwetsbaarheden met virtuele patches, die gemiddeld meer dan twee maanden eerder beschikbaar zijn dan officiële updates van softwareleveranciers. Daarnaast draagt het ZDI bij aan de algemene digitale veiligheid door ervoor te zorgen dat leveranciers kwetsbaarheden verhelpen voordat deze door cybercriminelen kunnen worden misbruikt.
Securityonderzoekers financieel stimuleren
Het ZDI werd in 2005 opgericht door TippingPoint, toen een divisie van 3Com, met als doel securityonderzoekers financieel te stimuleren om zero-day-kwetsbaarheden in veelgebruikte software te vinden en deze verantwoord bij leveranciers te melden. In 2007 voegde het programma de Pwn2Own-wedstrijd toe, waarbij onderzoeksteams tegen elkaar strijden om binnen een beperkte tijd kwetsbaarheden te ontdekken in vooraf geselecteerde productcategorieën.
Sinds 2016 valt het ZDI onder Trend Micro, nadat het bedrijf TippingPoint overnam. Momenteel werken er meer dan 450 onderzoekers vanuit veertien wereldwijde dreigingscentra aan het programma, met ondersteuning van een bredere community van ruim 19.000 onderzoekers die zich bezighouden met het opsporen van kwetsbaarheden.
Diverse kwetsbaarheden ontdekt
Onderzoekers van het ZDI ontdekten dat een eerdere patch voor een LNK-kwetsbaarheid, die door de Stuxnet-worm was misbruikt, onvoldoende werkte. Dankzij hun bevindingen kon Microsoft vijf jaar na de oorspronkelijke patch een nieuwe update uitbrengen.
Een team van het ZDI ontving 125.000 dollar van Microsoft voor het vinden van een methode om beveiligingsmaatregelen in Internet Explorer te omzeilen. Het bedrag werd geschonken aan een goed doel, terwijl de techniek zo innovatief was dat er een patent op werd aangevraagd.
Zero-day-kwetsbaarheden in QuickTime
Het ZDI bracht twee zero-day-kwetsbaarheden in Apple’s QuickTime voor Windows aan het licht, wat leidde tot het stopzetten van de ondersteuning voor het product door Apple. Het ZDI adviseerde gebruikers het programma te verwijderen.
Daarnaast heeft het werk van het ZDI bijgedragen aan het blootleggen van geheime overheidsoperaties, zoals de Black Energy APT, die jarenlang gericht was op Oekraïne.
In 2023 won een ZDI-onderzoeker een Pwnie Award in de categorie ‘meest ondergewaardeerd onderzoek’ voor de ontdekking van een nieuwe klasse exploits: activation context cache poisoning.
Meer over Trend Micro
Over Wouter Hoeffnagel
