Big Blue Button: Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.

Eine Recherche von veröffentlicht am
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell.
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell. (Bild: włodi, Wikimedia Commons (Modifikation: Hanno Böck)/CC-BY-SA 2.0)

Die Software Big Blue Button gehört zu den beliebtesten Open-Source-Lösungen für Videochats. Die Coronakrise hat für viel Verbreitung gesorgt, und die Software wird in vielen Unternehmen, Schulen und Universitäten eingesetzt. Doch in Sachen Sicherheit sieht es bei Big Blue Button nicht gut aus: Golem.de fand mehrere Sicherheitslücken und meldete sie dem Entwickler; eine besonders kritische Lücke wurde erst nach Monaten geschlossen.

Als außergewöhnlich problematisch erwies sich bei unseren Tests eine Funktion, mit der man digitale Präsentationen hochladen kann. Diese können in einer Reihe von Formaten sein, neben PDFs und reinen Bildern können auch Office-Dokumente hochgeladen werden. Die werden dann auf dem Server mit Hilfe von Libreoffice konvertiert. Libreoffice unterstützt extrem viele Dateiformate mit komplexen Features - eine große Angriffsfläche.

Dateien exfiltrieren mit Libreoffice

In einem Blogpost erläutert der IT-Sicherheitsexperte Brett Buerhaus eine Anzahl von Möglichkeiten, wie sich Libeoffice in Fällen angreifen lässt, in denen es zur serverseitigen Konvertierung genutzt wird.

Das von Libreoffice standardmäßig verwendete Opendocument-Format ermöglicht es, externe Dateien über URLs in eine Office-Datei einzubinden. Diese URLs können entweder normale Web-URLs oder Verweise auf lokale Dateien sein. Bei einem Test mit Big Blue Button konnten wir damit problemlos Dateien des lokalen Systems einbinden und uns anzeigen lassen.

Stellenmarkt
  1. IT Operations Project Specialist (w/m/d)
    FIEGE Logistik Stiftung & Co. KG, Greven
  2. Produktmanager / Product Owner (m/w/d) für 3D-Konfiguratoren
    W. & L. Jordan GmbH, Kassel
Detailsuche

Der Angriff ist damit fast trivial: Man erzeugt ein Dokument, welches ein externes Objekt einbindet, und verweist auf eine lokale Datei. Dieses Dokument lädt man anschließend als Präsentation hoch und kann den Inhalt der Datei sehen.

Als Proof of Concept haben wir eine Datei erstellt, die die Konfigurationsdatei mit dem API-Key extrahiert. Über die API kann man anschließend auch Räume von anderen Personen vollständig kontrollieren und sich etwa unberechtigt in geschlossene Sitzungen einwählen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kritische Lücke erst viele Monate später geschlossen

Als wir diese Lücke an die Entwickler von Big Blue Button meldeten, erhielten wir zunächst keine Reaktion. Nach einer Rückfrage verwies man uns auf einen öffentlichen Report, der ein ähnliches Problem meldete. Allerdings handelte es sich um eine andere, uns bis dahin unbekannte Methode, um mit Libreoffice Daten zu exfiltrieren. Es gab also bereits eine bekannte, ähnlich kritische Sicherheitslücke, die jedoch kaum wahrgenommen wurde. Durch eine Konfigurationsänderung wurde dieses Problem behoben - doch die von uns gemeldete Methode funktionierte weiterhin.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Libreoffice-Sandbox für nächste Version geplant 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...



Aktuell auf der Startseite von Golem.de
25 Jahre Mars Attacks!
"Aus irgendeinem merkwürdigen Grund fehl am Platz"

Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
Von Peter Osteried

25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
Artikel
  1. NIS 2 und Compliance vs. Security: Kann Sicherheit einfach beschlossen werden?
    NIS 2 und Compliance vs. Security
    Kann Sicherheit einfach beschlossen werden?

    Mit der NIS-2-Richtlinie will der Gesetzgeber für IT-Sicherheit sorgen. Doch gut gemeinte Regeln kommen in der Praxis nicht immer unbedingt auch gut an.
    Von Nils Brinker

  2. Artemis I: Orion-Kapsel ist in Mondorbit eingeschwenkt
    Artemis I
    Orion-Kapsel ist in Mondorbit eingeschwenkt

    Die Testmission für Mondlandungen der Nasa Artemis I hat den Mond erreicht. In den kommenden Tagen macht sich die Orion-Kapsel auf den Rückweg.

  3. Apple-Auftragsfertiger: Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust
    Apple-Auftragsfertiger
    Unruhen bei Foxconn und 30 Prozent iPhone-Produktionsverlust

    Foxconn soll Einstellungsprämien an Arbeiter nicht gezahlt haben, weshalb es zu Unruhen kam. Nun gab es Massenkündigungen. Für Apple ist die Situation gefährlich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN770 500GB 49,99€ • GIGABYTE Z690 AORUS ELITE 179€ • Seagate FireCuda 530 1TB 119,90€ • Crucial P3 Plus 1TB 81,99 & P2 1TB 67,99€ • Alpenföhn Wing Boost 3 ARGB 120 3er-Pack 42,89€ [Werbung]
    •  /