Eén van de patches die Microsoft tijdens patchdinsdag uitbracht werkt niet naar behoren en geeft bedrijven een vals gevoel van veiligheid. Onderzoekers van nCircle troffen het probleem aan in MS09-008. Het lek zorgt ervoor dat gebruikers een WPAD waarde in de DNS kunnen instellen. In het geval dat de browser automatisch de instellingen van het netwerk detecteert, roept het WPAD waarde op en downloadt de proxy instellingen van de bijbehorende server. Dit geeft een aanvaller de mogelijkheid om een man-in-the-middle aanval op de verbinding uit te voeren.

Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet geblokkeerd worden. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt alleen een blocklist voor nieuwe waarden toe. "In andere woorden, als je DNS server al een WPAD waarde bevat en je installeert MS09-008, dan bevat de blocklist geen WPAD. WPAD queries blijven gewoon werken en als de WPAD waarde van een vorige aanval is, dan blijven je gebruikers met een man-in-the-middle zitten, ook al ben je gepatcht", zegt Tyler Reguly.

Even checken
Volgens Reguly kan dit ernstige gevolgen hebben als bedrijven ten onrechte denken dat dit lek op gehackte servers is verholpen. "De patch verschijnt gewoon in het software overzicht en de patch registersteutels worden aangemaakt. Daardoor denken patchmanagement software en Microsoft's Update server ten onrechte dat de patch succesvol is geïnstalleerd. Microsoft is inmiddels ingelicht, maar heeft nog niet gereageerd. Beheerders krijgen het advies om te controleren dat zowel 'wpad' als 'isatap' aanwezig zijn in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList