Auf der neuseeländischen Sicherheitskonferenz Kiwicon hat ein Hacker über eine Sicherheitslücke in Windows berichtet, durch die eine große Anzahl von Windows-PCs Gefahr laufen soll, von Angreifer ausgespäht oder kontrolliert zu werden. Bei der Lücke soll es sich um einen Wiedergänger handeln: die Windows Proxy Autodiscovery (WPAD), mit welcher der Internet Explorer 6/7 einen im Netz vorhandenen Webproxy automatisch findet und in seine Konfiguration einträgt.

Schafft es ein Angreifer einen Internet Explorer mittels eines eigenen WPAD-Server davon zu überzeugen, über seinen manipulierten Proxy zu surfen, so wäre der Angreifer in der Lage, den HTTP-Verkehr mitzulesen. Sogar das Lesen verschlüsselter SSL-Verbindungen wäre über eine Man-in-the-Middle-Attacke möglich, wenn ein Anwender die im Browser angezeigte Fehlermeldung achtlos wegklickt. Allerdings muss der Angreifer dazu in der Regel bereits in ein LAN vorgedrungen sein. Neuseeländischen Medienberichten zufolge behauptet der Entdecker des Problems jedoch, dass der Angriff im vorliegenden Fall auch aus dem Internet funktioniert. Microsoft soll über das Problem informiert sein und bereits mit Hochdruck an einer Lösung arbeiten.

Genauere Informationen sind derzeit nicht erhältlich. Ob es sich wirklich um ein neues Problem handelt oder nur um einen Abklatsch der bereits im März bekannt gewordenen Schwachstelle, ist derzeit unklar. Damals hatte Microsoft kein Update zu dem Problem herausgegeben, sondern nur einen Workaround veröffentlicht. Sofern im DNS und WINS noch keine WPAD-Einträge vorhanden sind oder die Proxy-Einstellungen per DHCP nicht richtig übertragen werden, empfahl Microsoft, statische Einträge anzulegen, damit ein Angreifer keine eigenen Einträge mehr hinzufügen kann. Bereits 1999 hatte Microsoft mit einem WPAD-Problem im Internet Explorer 5 zu kämpfen. Anwender können im Zweifel im Internet Explorer die Option "Automatische Suche der Einstellungen" unter Extras/Internetoption/Verbindungen/LAN-Einstellungen/ deaktivieren.