Deux des trois vulnérabilités, dont la plus sérieuse, ont été intégrées à la mise à jour MS10-024 que Microsoft a livré le 13 avril dernier pour corriger des bugs dans Exchange et Windows SMTP Service. L'éditeur avait même qualifié ces correctifs d'«importants», le second rang dans son classement des menaces. Selon Ivan Arce, chef de la technologie chez Core Security Technologies, Microsoft a corrigé ces bugs en omettant de le faire savoir. Selon lui, «ces correctifs étaient plus importants que les deux [vulnérabilités] dont Microsoft a fait état. Cela signifie que les administrateurs système n'ont pas disposé de cette information pour évaluer le risque, ce qui les a peut-être amenés à prendre de mauvaises décisions quant à l'application de cette mise à jour. »

Nicolas Economou, chercheur chez Core Labs, a découvert les deux bugs « anonymes » en fouillant dans la mise à jour. Cette activité fait partie de son job chez Core, où il réalise des tests de pénétration, les Core Impact, réputés pour mettre à jour les vulnérabilités potentielles des ordinateurs et des réseaux en les plaçant en situation d'attaques réelles. « Un attaquant peut facilement exploiter les deux vulnérabilités non divulguées antérieurement et réparées par le patch MS10-024 pour tromper les réponses à toute requête DNS envoyées par le service SMTP de Windows, » a déclaré Core, suite à la découverte de son chercheur. «L'usurpation de la réponse DNS et les attaques par contamination du cache sont aussi connues pour provoquer une variété de problèmes de sécurité ayant un impact qui dépasse le déni de service et la divulgation d'informations, comme l'indiquait à l'origine le document accompagnant le patch. » La contamination du cache DNS est une tactique d'attaque qui ne date pas d'hier - elle remonte à près de deux décennies - mais elle est probablement mieux connue pour les vulnérabilités critiques qu'elle produit sur le DNS Internet, comme l'a découvert Dan Kaminsky en 2008.