McAfee: Kritische Sicherheitslücken in Home-Schooling-Software entdeckt

Laut McAfee ist es bereits in vergangenen Monaten vermehrt zu ähnlichen Sicherheitsvorfällen gekommen

[datensicherheit.de, 22.03.2021] Sicherheitsforscher von McAfee haben nach eigenen Angaben „vier kritische Sicherheitslücken in ,Netop Vision Pro‘“, einer in Deutschland verbreiteten Software für erweitertes Klassenraum-Management, entdeckt. Software dieser Art werde seit dem Beginn der „Covid-19-Pandemie“ von vielen deutschen Schulen eingesetzt, um „Home Schooling“ zu ermöglichen. Bereits in vergangenen Monaten sei es vermehrt zu ähnlichen Sicherheitsvorfällen gekommen, wie etwa der Schwachstelle in der Schul-App „Anton“ oder der gravierenden Sicherheitslücke in der „Schulcloud-Lösung“ des Hasso-Plattner-Instituts.

McAfee-Warnung: Hacker könnten private Daten abgreifen

Die Sicherheitslücken in der „Netop“-Software ermöglichten es Hackern, die volle Kontrolle über die Rechner der Schüler zu erhalten – und somit Ransomware einzuschleusen, private Daten abzugreifen oder sich Zugriff zu anderen Accounts auf dem Rechner und lokalen Netzwerk zu verschaffen.
Mangelnde Verschlüsselung, das grundsätzlich unsichere Design und „LPE“-Schwachstellen der Software führten dazu, dass die Hacker Lernbefehle emulierten und Geräte somit vollständig kompromittieren könnten. Auch der Zugriff auf die Webcams der Schüler wäre dadurch möglich.

Erkenntnisse des McAfee Advanced Threat Research Teams:

• Fehlende Verschlüsselung im gesamten Netzwerk-Traffic und keine Verschlüsselungsoption in der Konfiguration: Dadurch werde es jedem im lokalen Netzwerk ermöglicht, dem Unterricht zuzuhören und den Inhalt der Bildschirme der Schüler einzusehen.
• Die Schwachstelle ermögliche das Einschleusen von Ransomware in sämtliche Schulcomputer des Netzwerks, wodurch die komplette Infrastruktur der Schule lahmgelegt werden könnte.
• Ein heimlicher Angreifer könnte unbemerkt Keylogging-Software installieren und die Bildschirme der Schüler überwachen, was dazu führen könnte, dass Social-Media- oder Finanzkonten kompromittiert würden.
• Hacker könnten sich außerdem Zugriff auf die Webcams der Schüler verschaffen – und somit nicht nur den digitalen Raum infiltrieren, sondern auch das physische Umfeld der größtenteils minderjährigen Schüler.

Nach Veröffentlichung der Erkenntnisse des McAfee-Forscherteams sicherere Version herausgegeben

Die Schwachstelle in „Netop Vision Pro“ zeige einen einzigartigen und situationsbedingten Angriffsvektor auf, welcher sich durch die Verbreitung von „Home Schooling“ im Rahmen der „Covid-19-Pandemie“ ergeben habe. Die potenziellen Auswirkungen und Schäden von Sicherheitslücken wie dieser seien „enorm“ – und die Forschungserkenntnisse verdeutlichten nunmehr die Notwendigkeit, neue Technologien im Rahmen von „Home Schooling“ genauer zu untersuchen und zu schützen.
Nach Veröffentlichung der Erkenntnisse des McAfee-Forscherteams habe Netop Vision Pro mittlerweile eine sicherere Version der Software zur Verfügung stellen können, welche Schulen direkt implementieren könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT

McAfee, Judith Bitterli, 21.03.2021
Keep Remote Classes Safe and in Session: What You Need to Know About Netop Vision Pro

McAfee, Sam Quinn & Douglas McKee, 21.03.2021
Netop Vision Pro – Distance Learning Software is 20/20 in Hindsight

ZEIT ONLINE, 28.02.2021
Digitaler Unterricht: Sicherheitslücke bei der HPI-Cloud