Un usuario remoto puede colgar a Microsoft ActiveSync

VSantivirus No. 991 - Año 7 - Martes 25 de marzo de 2003

Un usuario remoto puede colgar a Microsoft ActiveSync
http://www.vsantivirus.com/vul-activesync.htm

Aviso: Cuelgue de Microsoft ActiveSync vía remota.
Original: Microsoft ActiveSync Application Can Be Crashed
Fecha original: 21/mar/03
Autor/descubridor: IRM Advisories <advisories@irmplc.com>
Aplicación vulnerable: Microsoft ActiveSync
Severidad: Media
Impacto: Denegación de servicio a través de la red
Solución: No hay solución publicada a la fecha
Vendedor: http://www.microsoft.com/technet/security/

Una vulnerabilidad capaz de provocar denegación de servicio, ha sido reportada en Microsoft ActiveSync, software utilizado para la sincronización con asistentes digitales personales y dispositivos móviles (utilizado por ejemplo con Microsoft Windows Powered Pocket PC y Smartphones). Con esta falla, un usuario remoto puede hacer que la aplicación se cuelgue.

Conectado al servicio por el puerto TCP/5679 y enviando un paquete "sync request" (pedido de sincronización), construido maliciosamente, se puede provocar la caída de la aplicación y en ocasiones de todo el sistema operativo.

La falla se produce cuando se manipula un puntero NULL en la función "WideCharToMultiByte()", para provocar el cuelgue del proceso "wcescomm". El servicio debe ser reiniciado manualmente para retomar el control normal.

Han sido publicadas demostraciones y el código fuente del exploit. Microsoft está en conocimiento de la falla desde noviembre de 2002, sin haber anunciado aún nada al respecto (marzo de 2003), no existiendo por lo tanto parche para la falla.

El exploit ha sido probado bajo Windows 2000, en las siguientes versiones:

ActiveSync version 3.5 (build 12007)