Cette vulnérabilité particulière est connue sous le nom de “Stack Underflow”. Elle utilise un composant RPC de Windows disponible une fois le partage d’un fichier ou d’une imprimante activé par l’utilisateur. Sous Windows XP, 2000 et 2003, ce service, appelé “Microsoft Windows Server Service”, devient disponible sans que l’utilisateur n’ait à s’identifier. Sous Windows Vista et 2008, un compte authentifié est nécessaire pour accéder à ce service. Alors que la configuration du firewall Windows par défaut bloque ce composant, un poste de travail sans protection pourrait rendre ce service disponible. Sans un firewall ou un système de protection contre les intrusions, n’importe quel poste de travail pourrait se retrouver ainsi confronté à cette attaque.

Il n’y a pas eu de signes d’attaques répandues mais plutôt des attaques ciblées, comme l’indique le blog Microsoft portant sur cette vulnérabilité et son exploitation (http://blogs.technet.com/msrc/archive/2008/10/26/update-on-ms08-067.aspx). Ces attaques ciblées semblent être menées par TrojanSpy:Win32/Gimmiv.A et TrojanSpy:Win32/Arpoc.A, l’attaque associée à Exploit:Win32/MS08067.gen !A. Ces deux attaques sont des chevaux de Troie, et non des vers se dupliquant par eux-mêmes.

La suite logicielle StormShield® de SkyRecon® permet une protection en temps réel du poste de travail contre les attaques connues et inconnues. Cette solution complète et proactive offre différentes couches de protection en un agent unique et léger, permettant l’application et le contrôle d’une politique de sécurité intégrée pour la détection contre les intrusions (HIPS), le firewall, l’anti-virus/anti-spyware, le contrôle des applications, le contrôle de périphériques amovibles, le chiffrement de données, la sécurité des réseaux sans fil et le contrôle d’accès réseau (NAC).