ljru_staff (ljru_staff) wrote in lj_ru_support,
ljru_staff
ljru_staff
lj_ru_support

Изменения в порядке размещения медиа-контента. Подробности.

Как вы, вероятно, заметили, в "Живом Журнале" были заблокированы отдельные видео- и медиаролики, а у некоторых записей неожиданно могли меняться содержание и уровень доступа. Оба эти явления связаны с поражением вирусным кодом ряда записей в "Живом Журнале" вчера, между 4:30 и 6:30 по московскому времени. Вот что вам следует знать (особенно, если вы посещали ЖЖ в указанное время):

  • Вам необходимо проверить ваши последние записи, чтобы убедиться, что уровень доступа к записям не изменился, и в текст записи не были добавлены элементы <embed> (см. вид ниже по тексту).(

  • Вирусный код распространялся через вредоносный Flash-код, вставленный в журнальную запись.

  • Для противостояния распространению вируса большинство видео- и медиароликов были заблокированы. (В настоящий момент доступ ко всем медиаресурсам кроме источника распространения вируса уже разблокирован)

  • После блокировки медиаконтента распространение вредоносного кода остановилось, опасности заражения больше нет.

  • Если увидите четверной блок (см. изображение ниже) в записях ваших друзей, объясните им ситуацию, так как они могут быть не в курсе случившегося.



С 5:45 по Московскому времени 23 сентября в Службу поддержки пользователей поступили сообщения о загадочном изменении текста записей и/или изменении уровня доступа к ним. При попытке пользователей вернуть запись в прежнее состояние (удалением добавленного контента и возвращением уровня доступа) в большинстве случаев изменения опять пропадали.

Разработчики были мгновенно уведомлены, и расследование показало, что имеет место исполнение вредоносного кода через кросс-доменный скрипт из вставленного Flash-файла. Весь медиаконтент был мгновенно заблокирован. В настоящий момент все ограничения сняты.

Как вирус распространялся:
- Просмотр записи с инфицированным Flash-роликом приводил к изменению скриптом последней записи в журнале пользователя, выполняющего просмотр, и добавлению в запись вредоносного кода.

Что делал этот вирус:
- Когда авторизованный в ЖЖ пользователь просматривал зараженную запись, Flash-скрипт выполнял кросс-доменный запрос на livejournal.com.
- Самый последний (верхний) пост в журале редактировался добавлением кода Flash-ролика, а все настройки записи сбрасывались в умолчательные (например, выставлялась картинка пользователя по умолчанию, удалялась информация о настроении, и уровень доступа изменялся на умолчательный для всего журнала).
- Скрипт записывал адрес email, указанный на странице редактирования профиля, т.е. независимо от настроек безопасности.
- В период активности вируса (по нашим расчетам, на протяжении одного-двух часов), пораженные записи, которые авторы пытались привести к изначальному виду, возвращались назад к зараженному состоянию (невозможно было их отредактировать/изменить).

Что этот вирус НЕ делал:
- Он не воровал и не изменял никаких паролей или cookie, хранящих информацию о сессиях пользователей, и не записывал какую-либо другую информацию отличную от адреса email.
- Он перестал быть активным 23 сентября в 6:30 утра по Московскому времени, когда инженеры ЖЖ заблокировали медиаконтент для предотвращения его распространения.
- Он не заражал копмьютер и не мог причинить никакого вреда содержимому жестких дисков.

Как определить пораженный пост/аккаунт:
- В журнале, который был поражен, есть запись, в самом конце которой содержится код нейтрализованного объекта, выглядящего примерно так:


- Это будет одна из последних записей в журнале и/или верхняя запись (если это пост с внеочередной датой).
- Если записи с подобными изменениями в журнале нет, значит аккаунт не был инфицирован.

После исследования использованого вирусом кода JavaScript выявлены две потенциальных угрозы безопасности пораженных журналов:
- Одна или несколько последних записей могли утратить ограничения видимости другим пользователя. Таким образом, записи, видимые "для друзей" или "только для меня", могли стать публичными, если записям в журнале по умолчанию выставляется уровень "Общедоступная".
- Связанный с аккаунтом адрес email (независимо от того, был ли он скрыт) мог быть отправлен на сервер, контролируемый взломщиком.


Масштаб заражения:
- По нашим расчетам, "Живой Журнал" был уязвим в течении одного-двух часов.
- По числу обращений и подсчетам мы определили менее 100 пораженных записей, однако из-за особенностей страницы друзей диапазон распространения может оказаться несколько шире.
- На данный момент мы надеемся, что число пострадавших ограничено. Мы продолжим изучение логов и других источников данных, чтобы точнее определить масштаб заражения.

PS В настоящий момент уязвимость в защите уже устранена патчем #54.1. Доступ ко всем медиа-ресурсам, исключая источник атаки, восстановлен.
Tags: embed, official, безопасность, взлом
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 12 comments