Moodle-Nutzer konnten ihre Schulnoten manipulieren

0
5



Am 18. Januar hat Moodle ein Update veröffentlicht, das möglichst alle Bildungs- und sonstigen Einrichtungen einspielen sollten. Denn seit der im November 2014 veröffentlichten Version 2.8 steckte ein Fehler in der Lernplattform-Software, den theoretisch viele der mehr als 200 Millionen Nutzerinnen und Nutzer hätten ausnutzen können, um andere Nutzerkonten zu kapern, auch die von Lehrerinnen und Lehrern sowie Administratoren.

Moodle ist eine quelloffene Software für die Fernlehre, jede Bildungseinrichtung oder Organisation richtet sich eine eigene Installation ein oder lässt sie von professionellen Partnern einrichten. Über Moodle können Lehrerinnen und Lehrer ihren Klassen beispielsweise Unterrichtsmaterialien zur Verfügung stellen und mit ihnen kommunizieren. Allein in Deutschland gibt es mehr als 9200 Moodle-Installationen. Die Betreiber sollten nun sicherstellen, dass sie die aktuelle Version der Software verwenden.

Denn der IT-Sicherheitsexperte Ata Hakcil von der Website WizCase.com hat im vergangenen Oktober eine hier im Detail beschriebene Schwachstelle in Moodle entdeckt: In Chats und Diskussionsgruppen wurden manche Sonderzeichen in mathematischen Formeln nicht sauber codiert, heißt es einer Analyse der Schwachstelle, die WizCase.com vorab mit dem SPIEGEL geteilt hat. Die Folge der Lücke: Es war möglich, für die Empfänger unsichtbare Codeschnipsel zu versenden, die in ihrem Browser ausgeführt wurden, sobald sie die entsprechende Nachricht öffneten. Die Opfer hätten also keine weiteren Links anklicken müssen.

Hausaufgaben klauen, als Lehrer ausgeben, Passwörter ändern

WizCase beschreibt eine Reihe von möglichen Angriffsszenarien: Schülerinnen und Schüler hätten mit entsprechendem Code zum Beispiel die Accounts ihrer Klassenkameradinnen und -kameraden kapern und deren Hausaufgaben kopieren oder Nachrichten in ihrem Namen schreiben können. Dieses Video zeigt, wie schnell und unauffällig das gegangen wäre.

Sie hätten aber auch die Konten des Lehrpersonals übernehmen und ihre eigenen Noten verändern, Tests einsehen oder sich in Nachrichten als Lehrer ausgeben können. Auch dazu gibt es eine Videodemonstration.

Oder sie hätten den Administrator-Account übernehmen können, wie hier zu sehen ist, wodurch sie unter anderem die Passwörter aller anderen Nutzerinnen und Nutzer der jeweiligen Moodle-Installation hätten verändern oder sich in deren Konten einloggen können.

Moodle-Produktmanager Sanger Bangma schrieb dem SPIEGEL, die Details seien in der Woche nach dem 18. Januar veröffentlicht worden, und verwies auf den entsprechenden Eintrag in Moodles Security-Forum sowie in den Release-Notes zum Sicherheitsupdate. Was genau Angreifer hätten tun können, geht daraus allerdings nicht hervor, die Schwachstelle wird nur sehr allgemein beschrieben. »Wir haben sie in Fällen, in denen der TeX-Filter aktiviert war, als ernste Sicherheitslücke eingestuft«, schrieb Bangma außerdem mit Verweis auf die Funktion, mit der in Moodle mathematische Formeln und Ausdrücke in Grafiken umgewandelt werden können und in der die Codierung bestimmter Sonderzeichen nicht fehlerfrei war. Es sei »wichtig klarzustellen, dass dieser Filter standardmäßig deaktiviert ist, sodass die Schwachstelle nur besteht, wenn Administratoren die Funktion aktiviert haben«.

WizCase wiederum betonte, dass der TeX-Filter für mathematische Formeln benutzt werde und daher »sehr wahrscheinlich« häufig in Universitäten mit entsprechenden Studiengängen aktiviert wurde. Zudem habe die Lücke über Jahre bestanden, weshalb man von Millionen von Betroffenen ausgehe.

Da Angreifer sich innerhalb derselben Moodle-Installation bewegen mussten wie ihre Opfer, war die Zahl der jeweils infrage kommenden Täter zwar beschränkt. Aber die technischen Manipulationen an sich wären möglicherweise unentdeckt geblieben. Zumindest so lange, bis einer Lehrerin oder einem Lehrer der plötzlich gestiegene Notenschnitt technisch begabter, aber eher fauler Schüler aufgefallen wäre.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here