E-Learning: Schwachstelle in Lern-Software Moodle

Die freie Lernplattform Moodle wies über Jahre eine Sicherheitslücke auf, mit der unter bestimmten Bedingungen Noten manipuliert werden konnten.

Artikel veröffentlicht am , Manuel Bauer
Mit den entsprechenden Kenntnissen konnten Schüler via Moodle ihre Noten manipulieren.
Mit den entsprechenden Kenntnissen konnten Schüler via Moodle ihre Noten manipulieren. (Bild: Lisa Maree Williams/Getty Images)

Der IT-Sicherheitsexperte Ata Hakcil des Unternehmens Wizcase hat in der Software der weit verbreiteten Lernplattform Moodle eine Schwachstelle aufgedeckt. Die mittlerweile behobene Sicherheitslücke ermöglichte es Schülern und Studenten zumindest theoretisch, unbemerkt fremde Accounts zu kapern und so unter anderem ihre eigenen Schulnoten zu manipulieren.

Stellenmarkt
  1. Data Engineer (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
  2. Software-Entwickler (m/w/d)
    Isochem & Datenverarbeitung GmbH, Bodenheim
Detailsuche

Möglich machte das ein Programmfehler in der 2014 veröffentlichten Version 2.8. Dazu musste allerdings der standardmäßig nicht aktivierte TeX-Filter eingesetzt werden, mit dem Sonderzeichen und mathematische Formeln dargestellt werden können. Diese wurden nicht korrekt codiert und ermöglichten es, Programmbefehle über den in Moodle integrierten Textchat zu versenden.

Die Befehle wurden anschließend im Browser des Empfängers ausgeführt. War der Nachrichtenempfänger ein Administrator oder eine Lehrkraft, konnten Javascript-Befehle mit deren Berechtigung in Moodle abgesetzt werden. Eine sogenannte Cross-Site-Scripting-Sichereheitslücke (XSS).

Da der TeX-Filter laut Hakcil jedoch häufig für die Umwandlung von mathematischen Formeln genutzt wird, geht der Experte davon aus, dass er insbesondere an Universitäten häufig aktiviert war. Manipulationen seien allerdings nur innerhalb der jeweiligen Moodle-Installation möglich gewesen, so dass zumindest globale Angriffe ausgeschlossen waren. Hakcil entdeckte die Sicherheitslücke (CVE-2021-20186) im Oktober 2020. Das Problem wurde bereits im Januar mit den Versionen 3.10.1, 3.9.4, 3.8.7 und 3.5.16 behoben.

Vielfältige Missbrauchsmöglichkeiten

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
Weitere IT-Trainings

Die Liste der Missbrauchsmöglichkeiten ist laut Hakcil lang. Neben der gezielten Manipulation von Schulnoten hätten Schüler und Studenten Testaufgaben vorab einsehen, Schulaufgaben kopieren und Nachrichten in fremdem Namen versenden können. Ob es tatsächlich jemals zum Missbrauch der Schwachstelle kam, ist nicht bekannt.

Erst im Januar 2021 hatten Schüler Moodle in mehreren Bundesländern durch DDoS-Angriffe lahmgelegt. Die Lernplattform wird in Deutschland im Zuge der Coronapandemie verstärkt für den Fernunterricht genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  2. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /