Onderzoekers van nCircle ontdekten vorige week dat MS09-008 niet effectief is als de WPAD-waarde al is aangepast. Bedrijven zouden kunnen denken dat ze veilig zijn, omdat ze de patch al hebben geïnstalleerd. Terwijl ze nog steeds worden aangevallen door een man-in-the-middle.

Web Proxy Auto-Discovery is een manier om automatisch proxy servers te configureren op een machine. Als een browser is ingesteld op ‘Automaticly detect settings’, worden automatisch de WPAD-instellingen gedownload. Een aanvaller kan de WPAD-instellingen zo manipuleren dat het verkeer door zijn proxy heen gaat en hij dus een man-in-the-middle wordt.

De patch verhindert dat nieuwe instellingen worden toegevoegd, maar laat de oude instellingen ongemoeid. Dus als een machine al is aangetast, gaat de aanval gewoon door. Microsoft reageerde hierop bij monde van Maarten van Horenbeeck, die schreef dat de security updates zijn bedoeld om de systemen te beschermen tegen toekomstige aanvallen, niet om aanvallen uit het verleden ongedaan te maken. Als de update geïnstalleerd wordt, kan die niet weten of de WPAD instellingen zijn aangepast door de beheerder of door een aanvaller.

In een uitgebreid weerwoord weerlegt Tyler Reguly van nCircle de stelling van Van Horenbeeck weer. Hij beweert dat er wel degelijk nog toekomstige aanvallen mogelijk zijn, omdat het probleem niet echt is opgelost. Wat volgens hem overigens niet wil zeggen dat de patch niet moet worden toegepast.

Bron: Techworld