Een probleem in de manier waarom Windows machines hun netwerkinstellingen verkrijgen zorgt ervoor dat aanvallers het netwerkverkeer kunnen kapen, zo waarschuwen beveiligingsonderzoekers. Het probleem wordt veroorzaakt door een ontwerpfout in het verkrijgen van proxy instellingen. Hierdoor kan een aanvaller met toegang tot het netwerk een kwaadaardige proxy toevoegen en al het verkeer zien.

"Waar het op neerkomt is dat ik je proxy server kan worden, zonder dat je dit weet" zegt onderzoeker Chris Paget. Volgens Paget is het erg eenvoudig als Internet Explorer start en aan het netwerk vraagt waar de proxy server is, de browser een andere server te geven.

Microsoft heeft het probleem inmiddels toegegeven en laat in dit artikel weten dat als de WPAD instelling in DNS of WINS clients wordt aangepast, het mogelijk is om het verkeer langs een kwaadaardige proxy server te laten gaan.

Het probleem is minder ernstig dan het lijkt, omdat de aanval alleen werkt vanaf het netwerk, en niet vanaf het internet. "Het grootste risico binnen een onderneming komt van kwaadwillende werknemers" laat onderzoeker Dan Kaminsky weten. Wat niet wegneemt dat het probleem daardoor niet moet worden opgelost. "Insiders" zijn namelijk voor de meeste aanvallen verantwoordelijk. Door het instellen van statische WPAD DNS host names en WPAD WINS name record kan de aanval volgens Microsoft voorkomen worden.