De laatste week is er veel geschreven en gesproken over het ernstige DNS-lek, maar wat laat het aanvallers doen en wat is de situatie op dit moment? Het Oostenrijkse CERT heeft een document beschikbaar gesteld waaruit blijkt dat tweederde van de Oostenrijkse nameservers ongepatcht is. Niet alleen in Oostenrijk is de situatie slecht, meer dan 52% van alle nameservers is volgens Dan Kaminsky, ontdekker van het lek, kwetsbaar. Het aantal gepatchte servers zou echter langzaam stijgen.

Dr. Neal Krawetz beschrijft in deze blogposting wat benodigd is om de aanval uit te voeren, voor de meeste internetgebruikers is het interessanter om te weten wat een aanvaller kan doen. Beveiligingsexperts Peter Tippett en Russ Cooper beschrijven verschillende scenario's. Zo kan een aanvaller de DNS van het bedrijf aanvallen om kantoorpersoneel naar een kwaadaardige site te leiden, die malware probeert te installeren.

Een andere optie is het aanvallen van de DNS van lokale internetproviders, zodat hun abonnees ook op kwaadaardige sites uitkomen. In het geval van een certificaat kan dit al een groot gedeelte van de ellende voorkomen, hoewel genoeg gebruikers de foutmeldingen van een certificaat zullen negeren. Aanvallers die bijvoorbeeld gebruikers van Google.com proberen te lokken lopen het risico dat hun site al het verkeer niet aan kan en daardoor over zichzelf een DoS-aanval afroept. Een scenario dat ook kan ontstaan bij het gebruik van bots om DNS-caches te vergiftigen.

Wat wel een probleem is, is het vergiftigen van de DNS-server voor een korte periode, waardoor de aanval grotendeels onopgemerkt blijft. Het andere grote probleem dat Tippett en Cooper zien is als een aanvaller hosting bij een hostingpartij afneemt en de DNS van die partij probeert te vergiftigen. Als de partij deze pogingen niet ontdekt, kan de aanval zeker slagen. Als laatste beschrijft het duo een scenario waarbij een kwaadwillende werknemer de DNS cache van het bedrijf aanvalt, bijvoorbeeld om de logins van een bepaalde gebruiker te stelen.