O MITM não é impossível, requer muito mais esforço. Devido ao processo de verificação de integridade que Keith e Nik apontaram, você terá que falsificar não apenas o domínio de exemplo.com, mas também .com e. (uma vez que é assinado). O que significa que o simples envenenamento de cache não funcionará mais, você terá que subverter completamente todo o fluxo do resolvedor do destino.
Funciona como o SSL de várias formas. O domínio raiz tem registros de delegação-assinante que são usados para verificar se o resolvedor de domínio filho (.com neste caso) é realmente o resolvedor correto. Isso se repete para cada domínio filho até você chegar a um nome de host. O processo de verificação real funciona em sentido inverso, sobe até a árvore até chegar a um nível não assinado e verifica a partir daí. Os atacantes DNS terão que falsificar toda a árvore de resolução até a raiz assinada (seja .com ou.) Para ter sucesso. É por isso que assinar o root no DNS é um grande negócio.
Muito como o DNSSEC melhora a segurança é tornar muito mais difícil alimentar dados ruins em caches de resolução e melhorar a resistência a jogos com o processo de transação do DNS entre clientes e resolvedores legítimos. Um servidor DNS totalmente comprometido ainda retornará dados inválidos mesmo se estiver usando DNSSEC, e um proxy em linha que reescrever as solicitações de DNS na rede teria que falsificar cada solicitação de DNS não apenas as pretendidas, mas esse é um problema mais difícil de resolver em geral; bem como mais difícil de entrar no lugar em primeiro lugar.