Sicherheitslücke in Lernplattform Moodle: Nutzer konnten Noten manipulieren
6.4.2021, 21:27 Uhr
Wizcase testet und bewertet unter anderem Cyber-Sicherheitstools und veröffentlicht die Ergebnisse sowie Empfehlungen in Artikeln und Blog-Beiträgen. Im Oktober des vergangenen Jahres entdeckte das Wizcase Cyber-Research-Team unter der Leitung des Sicherheitsexperten Ata Hakcil eine Sicherheitslücke bei der von Bildungseinrichtungen eingesetzten Lernplattform Moodle. Am Dienstag veröffentlichte Chase Williams nun einen detaillierten Blog-Beitrag, der die Schwachstelle offenlegt und Beispiele für Manipulationen auflistet.
Moodle ist ein Open Source Online-Lernmanagement-System, das sich unter anderem Schulen, Hochschulen und Universitäten über jeweils eigene Installationen einrichten können. In Deutschland gab es bislang über 9200 solcher Installationen. In der Region nutzt zum Beispiel die Ostbayerische Technische Hochschule in Amberg und Weiden die Lernplattform.
Über Moodle können Lehrer und Professoren ihren Schülern und Studenten Unterrichtsmaterial zur Verfügung stellen, Online-Tests anbieten und Lernfortschritte kontrollieren. Auch Kommunikation über einzelne Chats und Diskussionsgruppen ist möglich. Und genau bei diesen Kommunikationsmöglichkeiten tauchte die Schwachstelle auf. Es war theoretisch allen Nutzern innerhalb einer Installation möglich, in Nachrichten für Empfänger unsichtbare Codeschnipsel einzubauen. Der Code wurde ausgeführt, sobald die entsprechende Nachricht geöffnet wurde. Ein Video von Wizcase verdeutlicht diesen Prozess sehr anschaulich.
In dem Blog-Beitrag geht Wiliams auch auf mögliche Angriffsszenarien ein. Moodle-Nutzer hätten sich mir den versteckten Codes in Konten von Schülern oder Studenten der eigenen Installation hacken können, um zum Beispiel Hausaufgaben zu kopieren. Konten von Lehrern und Professoren hätten übernommen werden können, um Noten zu verändern, hochgeladene Tests einzusehen oder private Chats heimlich mitzulesen. Mit dem Kapern von Administratoren-Accounts wären unter anderem die Passwörter aller anderen Nutzer der jeweiligen Moodle-Installation ersichtlich und veränderbar gewesen.
Schule von Zuhause: Digitales Lernen funktioniert "besser als gedacht"
Jede Bildungseinrichtung, die Moodle nutzte, war gefährdet. Einzige Voraussetzung für die Manipulation war eine aktivierte TeX-Notation, die standardmäßig bei Moodle zunächst deaktiviert ist. TeX ist ein Textsatzsystem, welches unter anderem häufig in der Mathematik und Naturwissenschaft eingesetzt wird, um komplizierte Formeln direkt im Text eingeben zu können. Die eingegebenen Formeln werden dann als Grafik dargestellt. Wizcaze geht daher davon aus, dass in Universitäten und Hochschulen mit entsprechenden Studiengängen die Notation häufig "sehr wahrscheinlich" aktiviert wurde.
Der Fehler sei laut Wizcase auf eine Codeänderung in Version 2.8.0 zurückzuführen. Die Version wurde im November 2014 veröffentlicht. Die Sicherheitslücke bestand also rund sechs Jahre. Moodle hat mit einem Patch reagiert. Am 18. Januar wurde ein entsprechendes Update veröffentlicht. Nutzer sollten die Anwendung schnellstmöglich auf die neueste Version aktualisieren.
Keine Kommentare
Um selbst einen Kommentar abgeben zu können, müssen Sie sich einloggen oder sich zuvor registrieren.
0/1000 Zeichen