• IT-Karriere:
  • Services:

Big Blue Button: Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.

Eine Recherche von veröffentlicht am
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell.
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell. (Bild: włodi, Wikimedia Commons (Modifikation: Hanno Böck)/CC-BY-SA 2.0)

Die Software Big Blue Button gehört zu den beliebtesten Open-Source-Lösungen für Videochats. Die Coronakrise hat für viel Verbreitung gesorgt, und die Software wird in vielen Unternehmen, Schulen und Universitäten eingesetzt. Doch in Sachen Sicherheit sieht es bei Big Blue Button nicht gut aus: Golem.de fand mehrere Sicherheitslücken und meldete sie dem Entwickler; eine besonders kritische Lücke wurde erst nach Monaten geschlossen.

Als außergewöhnlich problematisch erwies sich bei unseren Tests eine Funktion, mit der man digitale Präsentationen hochladen kann. Diese können in einer Reihe von Formaten sein, neben PDFs und reinen Bildern können auch Office-Dokumente hochgeladen werden. Die werden dann auf dem Server mit Hilfe von Libreoffice konvertiert. Libreoffice unterstützt extrem viele Dateiformate mit komplexen Features - eine große Angriffsfläche.

Dateien exfiltrieren mit Libreoffice

In einem Blogpost erläutert der IT-Sicherheitsexperte Brett Buerhaus eine Anzahl von Möglichkeiten, wie sich Libeoffice in Fällen angreifen lässt, in denen es zur serverseitigen Konvertierung genutzt wird.

Das von Libreoffice standardmäßig verwendete Opendocument-Format ermöglicht es, externe Dateien über URLs in eine Office-Datei einzubinden. Diese URLs können entweder normale Web-URLs oder Verweise auf lokale Dateien sein. Bei einem Test mit Big Blue Button konnten wir damit problemlos Dateien des lokalen Systems einbinden und uns anzeigen lassen.

Stellenmarkt
  1. Polyform Kunststofftechnik GmbH & Co. Betriebs KG, Rinteln
  2. Bundeskartellamt, Bonn

Der Angriff ist damit fast trivial: Man erzeugt ein Dokument, welches ein externes Objekt einbindet, und verweist auf eine lokale Datei. Dieses Dokument lädt man anschließend als Präsentation hoch und kann den Inhalt der Datei sehen.

Als Proof of Concept haben wir eine Datei erstellt, die die Konfigurationsdatei mit dem API-Key extrahiert. Über die API kann man anschließend auch Räume von anderen Personen vollständig kontrollieren und sich etwa unberechtigt in geschlossene Sitzungen einwählen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kritische Lücke erst viele Monate später geschlossen

Als wir diese Lücke an die Entwickler von Big Blue Button meldeten, erhielten wir zunächst keine Reaktion. Nach einer Rückfrage verwies man uns auf einen öffentlichen Report, der ein ähnliches Problem meldete. Allerdings handelte es sich um eine andere, uns bis dahin unbekannte Methode, um mit Libreoffice Daten zu exfiltrieren. Es gab also bereits eine bekannte, ähnlich kritische Sicherheitslücke, die jedoch kaum wahrgenommen wurde. Durch eine Konfigurationsänderung wurde dieses Problem behoben - doch die von uns gemeldete Methode funktionierte weiterhin.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Libreoffice-Sandbox für nächste Version geplant 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Hardware-Angebote
  1. 499,99€

Keep The Focus 28. Okt 2020 / Themenstart

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Keep The Focus 26. Okt 2020 / Themenstart

Nein? Sinn?

WalterSobchak 23. Okt 2020 / Themenstart

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020 / Themenstart

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020 / Themenstart

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.

Kommentieren


Folgen Sie uns
       


Die Tesla-Baustelle von oben (März-August 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (März-August 2020) Video aufrufen
    •  /