Microsoft heeft haar gebruikers gewaarschuwd voor een acht jaar oud beveiligingslek dat in Windows XP, Vista en Server 2003 aanwezig is, en laatst opnieuw werd ontdekt. De softwaregigant zou het lek al in 1999 hebben gedicht, maar latere versies van Windows waren nog steeds kwetsbaar. Volgens Microsoft betreft het hier een variant van de kwetsbaarheid waardoor een aanvaller, in bepaalde situaties, man-in-the-middle aanvallen kan uitvoeren. Het probleem doet zich voor vanwege de manier waarop Windows naar DNS gegevens zoekt.

Als een Windows machine met z'n eigen DNS Suffix is geconfigureerd, dan zal het automatisch via een Web Proxy Auto-Discovery (WPAD) server naar DNS gegevens zoeken. In de meeste gevallen gaat het hier om een machine die in het netwerk van de gebruiker staat. De WPAD server maakt het eenvoudiger om Windows machines binnen een netwerk aan de praat te krijgen. DNS Suffixes worden gebruikt om computers aan bepaalde domeinen binnen het netwerk te koppelen.

Om de PC sneller een WPAD server te laten vinden, gebruikt Windows een techniek genaamd DNS devolution. Als een Microsoft computer als DNS suffix de naam het.bedrijf.co.uk krijgt, zal het automatisch gaan zoeken naar een WPAD server op wpad.het.bedrijf.co.uk. Als het geen reactie krijgt, probeert het wpad.bedrijf.co.uk, en mocht dit niet lukken, wordt wpad.co.uk aangeroepen, en dat is het probleem. Op dat moment heeft de machine het bedrijfsnetwerk verlaten, en vraagt het een onbekende machine om DNS gegevens.

De aanval werkt alleen bij Second-Level Domains zoals co.uk of co.nz, en als de aanvallers een domeinnaam met wpad voor het domain hebben geregistreerd. Bedrijven die hun eigen proxy server hebben ingesteld of een eigen WPAD server draaien lopen geen risico. De softwaregigant werkt aan een patch, maar geeft in de tussentijd de volgende oplossingen.