Big Blue Button: Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.

Eine Recherche von veröffentlicht am
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell.
Die Software Big Blue Button ist sehr beliebt - aber leider handeln die Entwickler beim Umgang mit Sicherheitslücken nicht sehr professionell. (Bild: włodi, Wikimedia Commons (Modifikation: Hanno Böck)/CC-BY-SA 2.0)

Die Software Big Blue Button gehört zu den beliebtesten Open-Source-Lösungen für Videochats. Die Coronakrise hat für viel Verbreitung gesorgt, und die Software wird in vielen Unternehmen, Schulen und Universitäten eingesetzt. Doch in Sachen Sicherheit sieht es bei Big Blue Button nicht gut aus: Golem.de fand mehrere Sicherheitslücken und meldete sie dem Entwickler; eine besonders kritische Lücke wurde erst nach Monaten geschlossen.

Als außergewöhnlich problematisch erwies sich bei unseren Tests eine Funktion, mit der man digitale Präsentationen hochladen kann. Diese können in einer Reihe von Formaten sein, neben PDFs und reinen Bildern können auch Office-Dokumente hochgeladen werden. Die werden dann auf dem Server mit Hilfe von Libreoffice konvertiert. Libreoffice unterstützt extrem viele Dateiformate mit komplexen Features - eine große Angriffsfläche.

Dateien exfiltrieren mit Libreoffice

In einem Blogpost erläutert der IT-Sicherheitsexperte Brett Buerhaus eine Anzahl von Möglichkeiten, wie sich Libeoffice in Fällen angreifen lässt, in denen es zur serverseitigen Konvertierung genutzt wird.

Das von Libreoffice standardmäßig verwendete Opendocument-Format ermöglicht es, externe Dateien über URLs in eine Office-Datei einzubinden. Diese URLs können entweder normale Web-URLs oder Verweise auf lokale Dateien sein. Bei einem Test mit Big Blue Button konnten wir damit problemlos Dateien des lokalen Systems einbinden und uns anzeigen lassen.

Stellenmarkt
  1. Softwareentwickler C# .NET (m/w/d)
    Dentsply Sirona, The Dental Solutions Company(TM), Bensheim bei Darmstadt
  2. Unitleiter (m/w/d) IT-Projekte und digitale Kommunikation / virtuelle Technologien
    sxces Communication AG, Kassel, Hamburg
Detailsuche

Der Angriff ist damit fast trivial: Man erzeugt ein Dokument, welches ein externes Objekt einbindet, und verweist auf eine lokale Datei. Dieses Dokument lädt man anschließend als Präsentation hoch und kann den Inhalt der Datei sehen.

Als Proof of Concept haben wir eine Datei erstellt, die die Konfigurationsdatei mit dem API-Key extrahiert. Über die API kann man anschließend auch Räume von anderen Personen vollständig kontrollieren und sich etwa unberechtigt in geschlossene Sitzungen einwählen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kritische Lücke erst viele Monate später geschlossen

Als wir diese Lücke an die Entwickler von Big Blue Button meldeten, erhielten wir zunächst keine Reaktion. Nach einer Rückfrage verwies man uns auf einen öffentlichen Report, der ein ähnliches Problem meldete. Allerdings handelte es sich um eine andere, uns bis dahin unbekannte Methode, um mit Libreoffice Daten zu exfiltrieren. Es gab also bereits eine bekannte, ähnlich kritische Sicherheitslücke, die jedoch kaum wahrgenommen wurde. Durch eine Konfigurationsänderung wurde dieses Problem behoben - doch die von uns gemeldete Methode funktionierte weiterhin.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Libreoffice-Sandbox für nächste Version geplant 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.



Aktuell auf der Startseite von Golem.de
Blender Foundation
Blender 3.0 ist da

Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.

Blender Foundation: Blender 3.0 ist da
Artikel
  1. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  2. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /