Tyler Reguly, naukowiec z zespołu VERT w firmie nCircle, opublikował na korporacyjnym blogu informację o swoim odkryciu. Dotyczy ono niedawno wysłanej przez Microsoft łaty MS09-008 dotyczącej ataków Man-In-The-Middle w Windows DNS i WINS.

Okazuje się, że jeśli system został zaatakowany przed zastosowaniem poprawki, łata nie jest nic warta.

Sprawa dotyczy ustawień WPAD (Web Proxy Auto Discovery), których celem jest automatyczne wykrywanie serwera proxy dla stron internetowych. Atakujący jest w stanie stworzyć wpis WPAD korzystający z jego własnych serwerów proxy, przekierowując ruch sieciowy przez wybrane przez siebie lokacje.

Opublikowany przez Microsoft patch sprawdza które wpisy zostały stworzone w serwerze DNS i blokuje tylko te, które zostały wykorzystane. Pozostałe natomiast w dalszym ciągu są aktywne – „załatany” komputer może więc w dalszym ciągu paść ofiarą autaku Man-In-The-Middle.

Aby sprawdzić, czy komputer jest „szczelnie załatany”, Reguly radzi sprawdzić wpis w rejestrze: HKEY_LOCAL_MACHINESYSTEM/CurrentControlSet/Services/DNS/Parameters/GlobalQueryBlockList. Powinien on zawierać obie wartości 'wpad' i 'isatap'.