Изменения в порядке размещения медиа-контента. Подробности.
Как вы, вероятно, заметили, в "Живом Журнале" были заблокированы отдельные видео- и медиаролики, а у некоторых записей неожиданно могли меняться содержание и уровень доступа. Оба эти явления связаны с поражением вирусным кодом ряда записей в "Живом Журнале" вчера, между 4:30 и 6:30 по московскому времени. Вот что вам следует знать (особенно, если вы посещали ЖЖ в указанное время):
С 5:45 по Московскому времени 23 сентября в Службу поддержки пользователей поступили сообщения о загадочном изменении текста записей и/или изменении уровня доступа к ним. При попытке пользователей вернуть запись в прежнее состояние (удалением добавленного контента и возвращением уровня доступа) в большинстве случаев изменения опять пропадали.
Разработчики были мгновенно уведомлены, и расследование показало, что имеет место исполнение вредоносного кода через кросс-доменный скрипт из вставленного Flash-файла. Весь медиаконтент был мгновенно заблокирован. В настоящий момент все ограничения сняты.
Как вирус распространялся:
- Просмотр записи с инфицированным Flash-роликом приводил к изменению скриптом последней записи в журнале пользователя, выполняющего просмотр, и добавлению в запись вредоносного кода.
Что делал этот вирус:
- Когда авторизованный в ЖЖ пользователь просматривал зараженную запись, Flash-скрипт выполнял кросс-доменный запрос на livejournal.com.
- Самый последний (верхний) пост в журале редактировался добавлением кода Flash-ролика, а все настройки записи сбрасывались в умолчательные (например, выставлялась картинка пользователя по умолчанию, удалялась информация о настроении, и уровень доступа изменялся на умолчательный для всего журнала).
- Скрипт записывал адрес email, указанный на странице редактирования профиля, т.е. независимо от настроек безопасности.
- В период активности вируса (по нашим расчетам, на протяжении одного-двух часов), пораженные записи, которые авторы пытались привести к изначальному виду, возвращались назад к зараженному состоянию (невозможно было их отредактировать/изменить).
Что этот вирус НЕ делал:
- Он не воровал и не изменял никаких паролей или cookie, хранящих информацию о сессиях пользователей, и не записывал какую-либо другую информацию отличную от адреса email.
- Он перестал быть активным 23 сентября в 6:30 утра по Московскому времени, когда инженеры ЖЖ заблокировали медиаконтент для предотвращения его распространения.
- Он не заражал копмьютер и не мог причинить никакого вреда содержимому жестких дисков.
Как определить пораженный пост/аккаунт:
- В журнале, который был поражен, есть запись, в самом конце которой содержится код нейтрализованного объекта, выглядящего примерно так:
- Это будет одна из последних записей в журнале и/или верхняя запись (если это пост с внеочередной датой).
- Если записи с подобными изменениями в журнале нет, значит аккаунт не был инфицирован.
После исследования использованого вирусом кода JavaScript выявлены две потенциальных угрозы безопасности пораженных журналов:
- Одна или несколько последних записей могли утратить ограничения видимости другим пользователя. Таким образом, записи, видимые "для друзей" или "только для меня", могли стать публичными, если записям в журнале по умолчанию выставляется уровень "Общедоступная".
- Связанный с аккаунтом адрес email (независимо от того, был ли он скрыт) мог быть отправлен на сервер, контролируемый взломщиком.
Масштаб заражения:
- По нашим расчетам, "Живой Журнал" был уязвим в течении одного-двух часов.
- По числу обращений и подсчетам мы определили менее 100 пораженных записей, однако из-за особенностей страницы друзей диапазон распространения может оказаться несколько шире.
- На данный момент мы надеемся, что число пострадавших ограничено. Мы продолжим изучение логов и других источников данных, чтобы точнее определить масштаб заражения.
PS В настоящий момент уязвимость в защите уже устранена патчем #54.1. Доступ ко всем медиа-ресурсам, исключая источник атаки, восстановлен.
- Вам необходимо проверить ваши последние записи, чтобы убедиться, что уровень доступа к записям не изменился, и в текст записи не были добавлены элементы (см. вид ниже по тексту).(
- Вирусный код распространялся через вредоносный Flash-код, вставленный в журнальную запись.
- Для противостояния распространению вируса большинство видео- и медиароликов были заблокированы. (В настоящий момент доступ ко всем медиаресурсам кроме источника распространения вируса уже разблокирован)
- После блокировки медиаконтента распространение вредоносного кода остановилось, опасности заражения больше нет.
- Если увидите четверной блок (см. изображение ниже) в записях ваших друзей, объясните им ситуацию, так как они могут быть не в курсе случившегося.
С 5:45 по Московскому времени 23 сентября в Службу поддержки пользователей поступили сообщения о загадочном изменении текста записей и/или изменении уровня доступа к ним. При попытке пользователей вернуть запись в прежнее состояние (удалением добавленного контента и возвращением уровня доступа) в большинстве случаев изменения опять пропадали.
Разработчики были мгновенно уведомлены, и расследование показало, что имеет место исполнение вредоносного кода через кросс-доменный скрипт из вставленного Flash-файла. Весь медиаконтент был мгновенно заблокирован. В настоящий момент все ограничения сняты.
Как вирус распространялся:
- Просмотр записи с инфицированным Flash-роликом приводил к изменению скриптом последней записи в журнале пользователя, выполняющего просмотр, и добавлению в запись вредоносного кода.
Что делал этот вирус:
- Когда авторизованный в ЖЖ пользователь просматривал зараженную запись, Flash-скрипт выполнял кросс-доменный запрос на livejournal.com.
- Самый последний (верхний) пост в журале редактировался добавлением кода Flash-ролика, а все настройки записи сбрасывались в умолчательные (например, выставлялась картинка пользователя по умолчанию, удалялась информация о настроении, и уровень доступа изменялся на умолчательный для всего журнала).
- Скрипт записывал адрес email, указанный на странице редактирования профиля, т.е. независимо от настроек безопасности.
- В период активности вируса (по нашим расчетам, на протяжении одного-двух часов), пораженные записи, которые авторы пытались привести к изначальному виду, возвращались назад к зараженному состоянию (невозможно было их отредактировать/изменить).
Что этот вирус НЕ делал:
- Он не воровал и не изменял никаких паролей или cookie, хранящих информацию о сессиях пользователей, и не записывал какую-либо другую информацию отличную от адреса email.
- Он перестал быть активным 23 сентября в 6:30 утра по Московскому времени, когда инженеры ЖЖ заблокировали медиаконтент для предотвращения его распространения.
- Он не заражал копмьютер и не мог причинить никакого вреда содержимому жестких дисков.
Как определить пораженный пост/аккаунт:
- В журнале, который был поражен, есть запись, в самом конце которой содержится код нейтрализованного объекта, выглядящего примерно так:
- Это будет одна из последних записей в журнале и/или верхняя запись (если это пост с внеочередной датой).
- Если записи с подобными изменениями в журнале нет, значит аккаунт не был инфицирован.
После исследования использованого вирусом кода JavaScript выявлены две потенциальных угрозы безопасности пораженных журналов:
- Одна или несколько последних записей могли утратить ограничения видимости другим пользователя. Таким образом, записи, видимые "для друзей" или "только для меня", могли стать публичными, если записям в журнале по умолчанию выставляется уровень "Общедоступная".
- Связанный с аккаунтом адрес email (независимо от того, был ли он скрыт) мог быть отправлен на сервер, контролируемый взломщиком.
Масштаб заражения:
- По нашим расчетам, "Живой Журнал" был уязвим в течении одного-двух часов.
- По числу обращений и подсчетам мы определили менее 100 пораженных записей, однако из-за особенностей страницы друзей диапазон распространения может оказаться несколько шире.
- На данный момент мы надеемся, что число пострадавших ограничено. Мы продолжим изучение логов и других источников данных, чтобы точнее определить масштаб заражения.
PS В настоящий момент уязвимость в защите уже устранена патчем #54.1. Доступ ко всем медиа-ресурсам, исключая источник атаки, восстановлен.