Volgens Microsoft en het Sans Internet Storm Center richten hackers hun pijlen op een lek in de dns-service in Windows 2000 Server SP4 en Windows Server 2003 SP1 en SP2. Via workarounds kan worden vermeden dat kwaadwillenden systemen overnemen.
Er is nog geen patch beschikbaar voor het euvel, dat aanvallers in staat stelt om de controle over een server over te nemen door er een speciaal rpc-pakketje naartoe te sturen. Wel geeft Microsofts advisory een aantal workarounds; zo kan het beheer op afstand voor rpc worden uitgeschakeld, kunnen de door rpc gebruikte poorten, 1024 tot en met 5000, worden geblokkeerd of kunnen aanvallers door het inschakelen van geavanceerde tcp/ip-filterinstellingen het bos in worden gestuurd.
Ondanks dat het aantal aanvallen momenteel beperkt lijkt, is het lek potentieel zeer ernstig te noemen, zegt dns-grondlegger Paul Mockapetris. Hij wijst erop dat dns-servers, die domeinnamen in ip-adressen omzetten en vice versa, vertrouwd moeten kunnen worden om bijvoorbeeld phishingaanvallen af te kunnen slaan - immers, een gehackte dns-server kan een computeraar van het vertrouwde bankdomein naar het ip-adres van een kwaadwillende doorsluizen. Nu is het wel zo dat de meeste isp's Unix- of Linux-servers gebruiken voor hun dns-servers, zegt Mockapetris, maar veel grote organisaties gebruiken Microsoft-serversoftware voor hun intranet en/of als gateway naar het internet. Daar liggen volgens de dns-ontwikkelaar dan ook de kansen voor het hackersgilde, en de eerste slachtoffers die door het Sans Internet Storm Center gemeld worden zijn inderdaad een aantal Amerikaanse universiteiten.