Schwachstelle in Lern-Software Moodle
Die freie Lernplattform Moodle wies über Jahre eine Sicherheitslücke auf, mit der unter bestimmten Bedingungen Noten manipuliert werden konnten.
Von Manuel Bauer
Der IT-Sicherheitsexperte Ata Hakcil des Unternehmens Wizcasehat in der Software der weit verbreiteten Lernplattform Moodle eine Schwachstelle aufgedeckt. Die mittlerweile behobene Sicherheitslücke ermöglichte es Schülern und Studenten zumindest theoretisch, unbemerkt fremde Accounts zu kapern und so unter anderem ihre eigenen Schulnoten zu manipulieren.
Möglich machte das ein Programmfehler in der 2014 veröffentlichten Version 2.8. Dazu musste allerdings der standardmäßig nicht aktivierte TeX-Filter eingesetzt werden, mit dem Sonderzeichen und mathematische Formeln dargestellt werden können. Diese wurden nicht korrekt codiert und ermöglichten es, Programmbefehle über den in Moodle integrierten Textchat zu versenden.
Die Befehle wurden anschließend im Browser des Empfängers ausgeführt. War der Nachrichtenempfänger ein Administrator oder eine Lehrkraft, konnten Javascript-Befehle mit deren Berechtigung in Moodle abgesetzt werden. Eine sogenannte Cross-Site-Scripting-Sichereheitslücke (XSS).
Da der TeX-Filter laut Hakcil jedoch häufig für die Umwandlung von mathematischen Formeln genutzt wird, geht der Experte davon aus, dass er insbesondere an Universitäten häufig aktiviert war. Manipulationen seien allerdings nur innerhalb der jeweiligen Moodle-Installation möglich gewesen, so dass zumindest globale Angriffe ausgeschlossen waren. Hakcil entdeckte die Sicherheitslücke (CVE-2021-20186)im Oktober 2020. Das Problem wurde bereits im Januar mit den Versionen 3.10.1, 3.9.4, 3.8.7 und 3.5.16 behoben.
Vielfältige Missbrauchsmöglichkeiten
Die Liste der Missbrauchsmöglichkeiten ist laut Hakcil lang. Neben der gezielten Manipulation von Schulnoten hätten Schüler und Studenten Testaufgaben vorab einsehen, Schulaufgaben kopieren und Nachrichten in fremdem Namen versenden können. Ob es tatsächlich jemals zum Missbrauch der Schwachstelle kam, ist nicht bekannt.
Erst im Januar 2021 hatten Schüler Moodle in mehreren Bundesländern durch DDoS-Angriffe lahmgelegt. Die Lernplattform wird in Deutschland im Zuge der Coronapandemie verstärkt für den Fernunterricht genutzt.