Vulnerabilidad procesando SMTP en Symantec Antivirus Client

CrowDat (Jordi Corrales) acaba de hacer público un problema en el antivirus Symantec que permite que un usuario sin privilegios pueda desactivarlo.
Este es el texto del advisory:

¨Cuando se intenta enviar un email desde la maquina que tiene el Symantec Antivirus Client, si en los campos TO, FROM y SUBJECT de las cabeceras se indica un texto excesivamente largo, provoca un error que mata el servicio "Symantec Antivirus". Esto puede realizarlo cualquier usuario, por lo que cualquier usuario sin privilegios puede detener el servicio antivirus sin tener permiso para hacerlo.

Las pruebas se han realizado en diversas maquinas, todas con Windows XP SP2 en Ingles con Language Pack en Español, con el programa Symantec Antivirus Client 9.0.4.1000 (corporate edition)

Si las pruebas se realizan bajo vmware el error se produce pero no mata el servicio."

Demostración (del advisory original)

C:\Testing>net start | find /i "antivirus"
Symantec AntiVirus
Symantec AntiVirus Definition Watcher

C:\Testing>net stop "symantec antivirus"
System error 5 has occurred.

Access is denied.



Exploit
Para explotar esta vulnerabilidad basta con guardar el siguiente texto y enviarlo como se indica en la demostración o desde un cliente de mail.



Referencia
Fuente