                            _                                          _   
                           (_)                                        | |  
              __   ____  __ _  _   _  _ __ ___   _ __     _ __    ___ | |_ 
              \ \ / /\ \/ /| || | | || '_ ` _ \ | '_ \   | '_ \  / _ \| __|
               \ V /  >  < | || |_| || | | | | || |_) |_ | | | ||  __/| |_ 
                \_/  /_/\_\| | \__,_||_| |_| |_|| .__/(_)|_| |_| \___| \__|
                          _/ |                  | |                        
                         |__/                   |_| 
           
/---------------------------------------------------------------------------------------\
|>...................[     分析IE EMP 沙盒逃逸漏洞-CVE-2015-2489   ]...................<|
|>......................[          by nEINEI/vxjump.net         ]......................<|
|>......................[              2015-09-14               ]......................<|
\>......................  [           neineit_at_gmail.com    ]  ......................</



[目录]

[0x01] .简介
[0x02] .基本信息
[0x03] .漏洞分析
[0x04] .其它


[0x01] .简介

这个CVE-2015-2489是一个关于IE EPM逃逸的漏洞，当 Internet Explorer在特定条件下未正确验证权限时会
导致特权提升漏洞，可能允许使用提升特权运行脚本或任意代码。 

[0x02] .基本信息

漏洞公告信息MS-15-094：
https://technet.microsoft.com/library/security/ms15-094

漏洞发生模块：iertutil.dll (IE11 <= 11.0.9600.17416)

    Image name: iertutil.dll
    Timestamp:        Thu Oct 30 20:18:14 2014 (5452FF76)
    CheckSum:         0022D4A9
    ImageSize:        00232000
    File version:     11.0.9600.17416
    Product version:  11.0.9600.17416
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll
    File date:        00000000.00000000
    Translations:     0409.04b0
    CompanyName:      Microsoft Corporation
    ProductName:      Internet Explorer
    InternalName:     IeRtUtil.dll
    OriginalFilename: IeRtUtil.dll
    ProductVersion:   11.00.9600.17416
    FileVersion:      11.00.9600.17416 (winblue_r4.141030-1500)

补丁后信息漏洞模块信息：

	Image name: iertutil.dll
    Timestamp:        Sat Aug 22 09:50:42 2015 (55D8A862)
    CheckSum:         00234EB1
    ImageSize:        00232000
    File version:     11.0.9600.18036
    Product version:  11.0.9600.18036
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll
    File date:        00000000.00000000
    Translations:     0409.04b0
    CompanyName:      Microsoft Corporation
    ProductName:      Internet Explorer
    InternalName:     IeRtUtil.dll
    OriginalFilename: IeRtUtil.dll
    ProductVersion:   11.00.9600.18036
    FileVersion:      11.00.9600.18036 (winblue_ltsb.150822-0600)



[0x03] .漏洞分析
     
漏洞发生模块的函数是：

 int __stdcall SettingStore::CSettingsBroker::SetValue(int, int, int, int, BYTE *lpData, DWORD cbData)
.text:5DE7F040 ?SetValue@CSettingsBroker@SettingStore@@UAGJABU_GUID@@HHPAEK@Z proc near

如果在Sandbox模块获得了一个关于ISettingsBroker的COM对象，那么可以通过调用该对象的SetValue方法写入注册表某个
键值。

 int __stdcall SettingStore::CSettingsBroker::SetValue(int, int, int, int, BYTE *lpData, DWORD cbData)
.text:5DE7F040 var_4           = dword ptr -4
.text:5DE7F040 arg_4           = dword ptr  0Ch
.text:5DE7F040 arg_8           = dword ptr  10h
.text:5DE7F040 arg_C           = dword ptr  14h
.text:5DE7F040 lpData          = dword ptr  18h
.text:5DE7F040 cbData          = dword ptr  1Ch
.text:5DE7F040
.text:5DE7F040                 mov     edi, edi
.text:5DE7F042                 push    ebp
.text:5DE7F043                 mov     ebp, esp
.text:5DE7F045                 push    ecxF
.text:5DE7F046                 cmp     [ebp+arg_8], 4
.text:5DE7F04A                 jbe     short loc_5DE7F053
.text:5DE7F04C                 mov     eax, 80070057h
.text:5DE7F051                 jmp     short loc_5DE7F089
.text:5DE7F053 ; ---------------------------------------------------------------------------
.text:5DE7F053
.text:5DE7F053 loc_5DE7F053:                           ; CODE XREF: SettingStore::CSettingsBroker::SetValue(_GUID const &,int,int,uchar *,ulong)+
.text:5DE7F053                 mov     ecx, [ebp+arg_4]
.text:5DE7F056                 lea     edx, [ebp+var_4]

//-------------------------注意这里调用GetValueById获得符合条件的注册表调用信息，根据调用时传入的ID.
.text:5DE7F059                 call    ?GetValueById@SchemaStore@SettingStore@@YGJPBU_GUID@@PAPBUVALUEINFO@2@@Z ; SettingStore::SchemaStore::GetValueById(_GUID const *,SettingStore::VALUEINFO const * *)
.text:5DE7F05E                 test    eax, eax
.text:5DE7F060                 js      short loc_5DE7F089
.text:5DE7F062                 mov     eax, [ebp+var_4]
//-------------------------如果上一步的调用GetValueById没有问题，就继续调用SetValue写入注册表键值,否则失败退出
.text:5DE7F065                 test    dword ptr [eax+8], 2000h
.text:5DE7F06C                 jz      short loc_5DE7F084
.text:5DE7F06E                 push    [ebp+cbData]    ; cbData
.text:5DE7F071                 push    [ebp+lpData]    ; lpData
.text:5DE7F074                 push    [ebp+arg_C]     ; int
.text:5DE7F077                 push    [ebp+arg_8]     ; int
.text:5DE7F07A                 push    [ebp+arg_4]     ; int
.text:5DE7F07D                 call    _SetValue@20    ; SetValue(x,x,x,x,x)
.text:5DE7F082                 jmp     short loc_5DE7F089
.text:5DE7F084 ; ---------------------------------------------------------------------------
.text:5DE7F084
.text:5DE7F084 loc_5DE7F084:                           ; CODE XREF: SettingStore::CSettingsBroker::SetValue(_GUID const &,int,int,uchar *,ulong)+2Cj
.text:5DE7F084                 mov     eax, 80070005h
.text:5DE7F089
.text:5DE7F089 loc_5DE7F089:                           ; CODE XREF: SettingStore::CSettingsBroker::SetValue(_GUID const &,int,int,uchar *,ulong)+11j
.text:5DE7F089                                         ; SettingStore::CSettingsBroker::SetValue(_GUID const &,int,int,uchar *,ulong)+20j ...
.text:5DE7F089                 mov     esp, ebp
.text:5DE7F08B                 pop     ebp
.text:5DE7F08C                 retn    18h
.text:5DE7F08C ?SetValue@CSettingsBroker@SettingStore@@UAGJABU_GUID@@HHPAEK@Z endp
.text:5DE7F08C

总结一下利用思路，首先在IE sandbox 进程中获得IEUserBroker对象，然后利用IEUserBroker获得ISettingsBroker对象，
这时关键点是，如果找到一个写入注册表自启动的项的ID值。

因为sandbox进程在EPM保护下的IL等级是AppContainer,不具有写入注册表敏感区域的权限。调用ISettingsBroker->SetValue后，
IE EPM会将这个请求通过COM 
IPC传递给Broker进程，然后Broker的COM对象响应该请求，来执行SettingStore::CSettingsBroker::SetValue 操作，这个操作
可以写入某个注册表值到系统注册表中。

当攻击者使用下面这个键值_IEVALUE_GUID_Trident_CleanupEncryptedMediaExtensions时，就可以向注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
写入任意值,这样在开机启动时就可以允许IL等级是Medium权限的进程。

.text:5DD33948                 dd offset _IEVALUE_GUID_Trident_CleanupEncryptedMediaExtensions
.text:5DD3394C                 dd 1015Fh, 406102h


在GetValueById这个函数中，通过__imp__bsearch来获得那些ID是可以被允许的，
 
.text:5DDA2A98                 push    ebp
.text:5DDA2A99                 mov     ebp, esp
.text:5DDA2A9B                 sub     esp, 0Ch
.text:5DDA2A9E                 push    esi
.text:5DDA2A9F                 push    offset ?_CompareValueGuids@SchemaStore@SettingStore@@YAHPBX0@Z ; PtFuncCompare
.text:5DDA2AA4                 xor     eax, eax
.text:5DDA2AA6                 mov     [ebp+Key], ecx
.text:5DDA2AA9                 push    0Ch             ; SizeOfElements
.text:5DDA2AAB                 push    15F5h           ; NumOfElements
.text:5DDA2AB0                 mov     [ebp+var_8], ax
.text:5DDA2AB4                 mov     esi, edx
.text:5DDA2AB6                 mov     [ebp+var_6], eax
.text:5DDA2AB9                 mov     [ebp+var_2], ax
.text:5DDA2ABD                 lea     eax, [ebp+Key]
.text:5DDA2AC0                 push    offset ?s_rgValues@SettingStore@@3QBUVALUEINFO@1@B ; Base
.text:5DDA2AC5                 push    eax             ; Key
.text:5DDA2AC6                 call    ds:__imp__bsearch
.text:5DDA2ACC                 mov     [esi], eax
.text:5DDA2ACE                 add     esp, 14h
.text:5DDA2AD1                 neg     eax
.text:5DDA2AD3                 sbb     eax, eax
.text:5DDA2AD5                 and     eax, 7FF8FFFEh
.text:5DDA2ADA                 add     eax, 80070002h
.text:5DDA2ADF                 pop     esi
.text:5DDA2AE0                 mov     esp, ebp
.text:5DDA2AE2                 pop     ebp
.text:5DDA2AE3                 retn
.text:5DDA2AE3 ?GetValueById@SchemaStore@SettingStore@@YGJPBU_GUID@@PAPBUVALUEINFO@2@@Z endp
.text:5DDA2AE3


所以，微软在补这个漏洞的时候，补的是ID的标志值，更新到补丁版本可以看到，

.text:5DD31700                 dd offset _IEVALUE_GUID_Trident_CleanupEncryptedMediaExtensions
.text:5DD31704                 dd 1015Fh, 400102h // 这里已经修改为了400102h，而不是406102h
.text:5DD3170C                 dd offset _IEVALUE_GUID_Ried_International_Scripts_21IEPropFontName
.text:5DD31710                 dd 10160h, 400102h
.text:5DD31718                 dd offset _IEVALUE_GUID_Ried_InternetSettings_Lockdown_Zones_11803
.text:5DD3171C                 dd 20161h, 101h
.text:5DD31724                 dd offset _IEVALUE_GUID_Ried_ActiveXCompatibility_d2d588b5_d081_11d0_99e0_00c04fc2f8ec_Compatibility_Flags
.text:5DD31728                 dd 10163h, 101h
.text:5DD31730                 dd offset _IEVALUE_GUID_LCIE_TabProcConfig_Value


这样调用__imp__bsearch时，给参数是_IEVALUE_GUID_Trident_CleanupEncryptedMediaExtensions的操作会搜索失败，
在后面的分支里面将不会执行_SetValue这个这个真正写注册表的操作。

[0x04] .其它
CVE-2015-2489这个IE EPM 提权的漏洞利用十分简单，不完美的地方是需要重启后才能执行任意代码，不是立刻就能执行任意代码.


---------------------------EOF--------------------------------------------------------------------------------------------