Активная XSS-уязвимость в Twitter

Сегодя знаменитый сервис микроблогов Twitter, который насчитывает более 145 млн зарегистрированных аккаунтов, подвергся эпидемии вредоносных постов. «Сегодня в социальной сети Twitter была обнаружена активная XSS-уязвимость. Ее использование началось несколько с относительно безобидного раскрашивания страниц пользователей в разные цвета. Уязвимость быстро стала использоваться и поражать новых пользователей», — сообщил GZT.RU главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

По данным BBC, автором эксплойта (программного кода, использующего уязвимость) стал некий программист Магнус Холм (Magnus Holm), который заявил изданию, что создал червя ради шутки, не предполагая нанести реальный вред. Как, в свою очередь передает, РИА «Новости», источником атаки мог быть пользователь RainbowTwtr, который опубликовал первый зараженный пост. Он состоял из ссылки на профиль пользователя, символов "#@", после был размещен код, который раскрашивал запись полностью в тот или иной цвет.



Чтобы получить эффект радуги, пользователь RainbowTwtr оставил примерно следующие сообщение:

Однако злоумышленники за считанные часы модифицировали эксплойт и научили его, по разным данным, перенаправлять пользователя на внешние сайты (например, порнографические), автоматически писать новые зараженные сообщения и даже угонять аккаунты.

Как пишет компания Sophos, которая занимается компьютерной безопасностью, новая активная XSS-уязвимость в Twitter позволяла запускать код javascript в ответ на действие onmouseover — то есть, на ссылку достаточно просто навести курсор мыши, не обязательно даже нажимать на нее. А открыться может все что угодно: именно так жена бывшего премьер-министра Великобритании Сара Браун (Sarah Brown) попала на японский сайт с жестким порно.

В общем злоумышленники создали черви для Twitter'а, которые самостоятельно распространялись отправляя сообщение с вредоносным кодом от имени ”заражённых” пользователей. Например, следующий код демонстрирует как XSS-уязвимость в Twitter'е позволяла создать такой червь:

В настоящий момент администрация Twitter уже устранила данную уязвимость. Что касается количества пострадавших, то системы наблюдения "Лаборатории Касперского" фиксировали примерно 100 зараженных пользователей в секунду. Таким образом, за примерно полтора часа, от действия червей могли пострадать около полумиллиона пользователей Twitter.

Хочу напомнить, что условно XSS можно разделить на активные и пассивные:

1. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например, клик по специально сформированной ссылке).


2. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы заражённого сайта. Их также называют вторым типом XSS.