Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Sicherheitslücke in Lernplattform Mebis!

M.Sc. Jan Hörnemann

Lernplattformen bekommen in Covid19-Zeiten immer mehr aufsehen und gewinnen stark an Nutzern. Jedoch sind nicht alle dieser Plattformen sicher und schützen die Daten der Nutzer ausreichend. So ist es auch mit der Plattform Mebis, die vom Bayerischen Kultusministerium entwickelt wurde. Eine Hackergruppe veröffentlichte nun einen Beitrag, indem mehrere Schwachstellen genannt wurden, die in der Plattform Mebis enthalten sind.

Hackergruppe aus Nürnberg entdeckt Sicherheitslücken in Mebis

Bereits am 20. Mai 2020 entdeckte die Hackergruppe eine Open Redirect Sicherheitslücke in der Lernplattform Mebis. Ein Mitglied der Hackergruppe ist selbst noch Schüler und verwendet im Unterricht diese Lernplattform. Bei der gefundenen Open Redirect Schwachstelle war es den Angreifern möglich in die URL eine Webseite einzugeben, auf die automatisch weitergeleitet wird. Solch eine Sicherheitslücke kann verwendet werden um Opfer eine Phishing-Seite weiterzuleiten.

Einen Tag später meldete die Hackergruppe weitere Sicherheitslücken, dabei waren weitere Open Redirect Schwachstellen, eine Client Side Only Validation und eine XSS-Sicherheitslücke. Die XSS-Sicherheitslücke ist hierbei am gefährlichsten, denn Angreifern ist es möglich eigenen Java-Script-Code zur Ausführung zu bringen.

Erneut können hierdurch Opfer auf Phishing-Seiten geleitet werden, dass gefährlichere im Vergleich zu der Open Redirect Schwachstelle ist, dass die URL die angezeigt wird unverändert ist und somit der Nutzer nur schwer erkennen kann, dass er auf einer Phishing-Seite gelandet ist.

92 Tage später – Erste Sicherheitslücke wurde geschlossen

Nachdem die Hackergruppe im Mai 2020 die Sicherheitslücken entdeckt hatte, meldeten sie diese umgehend an das Bayerische Kultusministerium. Sie gaben dem Ministerium eine 90tägige Frist, um dieses Lücken zu schließen, bevor die Hackergruppe einen Pressebericht verfassen würde.

Nach mehrmaligem Erinnern an die Frist ohne eine konkrete Antwort, wann die Lücken geschlossen werden sollen, verstrichen die 90 Tage am 19.08.2020. Genau an diesem Tag wurde ein Beitrag auf der Webseite der Hackergruppe veröffentlicht, der unter anderem alle Sicherheitslücken detailliert darstellt.

Am 21.08.2020 tauchte der erste Pressebericht auf. Lediglich 1 Stunde später wurde die XSS-Lücke geschlossen. Der Landesbeauftragte meldetet der Hackergruppe, dass die XSS-Lücke geschlossen wurde, jedoch die anderen Lücken noch nicht alle behoben werden konnten. Die weiteren Lücken wurden jedoch alle spätestens am darauffolgenden Tag geschlossen.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Mebis Schwachstellen wurden nicht ausgenutzt

Laut der ersten veröffentlichten Pressemitteilung gäbe es keine Anzeichen, dass diese Schwachstellen ausgenutzt wurden. Dennoch ist es gut, dass die Hackergruppe diese teilweise kritischen Schwachstellen gefunden und gemeldet hat, denn ca. 1 Million Schüler besitzen auf dieser Plattform einen Account.

Wenn man selbst Interesse hat Schwachstellen in realen Systemen zu finden kann man gut mit Bug Bounty Programmen starten. Findet man in einer echten Anwendung tatsächlich Schwachstellen können diese Funde belohnt werden.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)