Dat ontdekten onderzoekers van nCircle. Patch MS09-008 is een pleister op het lek dat gebruikers toelaat om, als dynamic updates is aangeschakeld, een WPAD-waarde in te stellen in DNS. Als Internet Explorer de instellingen automatisch detecteert, dan zal het deze WPAD-waarde oproepen en proberen om proxy settings te downloaden van de bijbehorende server. En daarbij kan er dan een man in het midden gaan zitten.

Als patch heeft Microsoft een blocklist toegevoegd voor nieuwe waarden, maar dat werkt niet bij servers die al zijn aangetast. Dus als de waarde van WPAD al was aangepast voordat de patch is toegepast, dan kan de man-in-the-middle-aanval gewoon doorgaan.

Hierdoor kunnen bedrijven ten onrechte denken dat het lek op aangetaste servers is gedicht. De Automatic Update service van Microsoft zegt toch immers dat de patch succesvol is toegepast.

Wil je er zeker van zijn dat je inderdaad goed bent gepatcht, controleer dan of HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList zowel ‘wpad’ als ‘isatap’ bevat.

De patch voor WINS server heeft trouwens geen last van dit probleem.

Bron: Techworld