Poprawka Security Bulletin MS08-67 została wydana w trybie nadzwyczajnym - Microsoft nie czekał z jej publikacją do drugiego wtorku miesiąca (jak zwykł robić do tej pory). Patrząc na zachowanie producenta, można sądzić, że łatana luka jest poważna. I tak też jest w rzeczywistości, gdyż aktualizacja rozwiązuje problem w usłudze "Server". Dziura umożliwia zdalne wykonanie kodu przez specjalnie spreparowane zapytanie RPC w systemie. Łatwo można zrozumieć pośpiech Microsoftu, jeśli przypomnimy sobie, że z podobnego mechanizmu korzystały takie robaki, jak Sasser i Blaster. Systemy podatne na atak to niezaktualizowane Windows 2000, Windows XP oraz Windows 2003 Server. W tych systemach włamywacz, bez autentykacji, może wykonać dowolny kod. Aktualizacja wymienionych systemów jest bezwzględnie konieczna, gdyż do Panda Labs dotarł już pierwszy trojan eksploatujący podaną lukę (jeszcze przed publikacją biuletynu Microsoftu). Oprogramowanie Pandy wykrywa go jako Trj/Gimmiv.A.

Możliwe jest także stworzenie robaka, który będzie rozprzestrzeniał się samoczynnie, infekując kolejne komputery bez potrzeby angażowania do tego celu użytkownika. Tak więc należy się upewnić, czy firewalle brzegowe w administrowanej przez nas sieci mają poblokowane porty, po których odbywa się udostępnianie zasobów w sieciach Microsoft. Narażona na ataki usługa Server odpowiedzialna jest za udostępnianie w sieci plików, drukarek i protokołów.

Przy tej okazji warto wspomnieć o innej luce, która niedawno została załatana przez producenta "okienek". Niestety w tym wypadku Microsoft kompletnie się nie popisał refleksem, gdyż wydał poprawkę dopiero po siedmiu latach od zgłoszenia problemu - wiązał się on z niedociągnięciami w protokole SMB (Server Message Block). Szef naukowców firmy Veracode informację o problemie opublikował w serwisie Defconu już w 2000 roku. Od tamtej pory wspomniana luka została wielokrotnie wykorzystana i była źródłem dużych kłopotów we wszystkich jednostkach, które za pomocą protokołu SMB współdzieliły swoje zasoby.

[...]