Im Microsoft Office 365 (Moodle Plugin) steckt eine Schwachstelle, die besonders für Schulen, Hochschulen und Unternehmen mit Moodle-Lernplattform relevant ist. Das Plugin verbindet Moodle mit der Microsoft-365-Anmeldung und damit mit den Identitäten der Nutzer. Genau an dieser Stelle liegt das Risiko: Ein Angreifer kann Sicherheitsvorkehrungen umgehen, einen O365-authentifizierten Benutzer imitieren und sich dadurch erweiterte Berechtigungen verschaffen. Reicht die imitierte Identität weit genug, ist auch Administratorzugriff möglich. Für den Angriff muss der Angreifer den UPN eines über Office 365 authentifizierten Benutzers kennen oder ermitteln.
Wenn die Identität zur Eintrittskarte wird
Moodle ist in vielen Organisationen nicht nur eine Kursplattform, sondern ein zentraler Arbeitsbereich: Kurse, Abgaben, Bewertungen, interne Dateien und Nutzerverwaltung laufen dort zusammen. Das Office-365-Plugin erleichtert die Anmeldung, weil Nutzer ihre Microsoft-Identität verwenden können. Technisch bedeutet das: Moodle vertraut an bestimmten Stellen Informationen aus der Microsoft-365-Welt, um einen Benutzer zu erkennen und ihm passende Rechte zu geben.
Die gemeldete Schwachstelle betrifft genau diesen Vertrauenspfad. Ein Angreifer kann Sicherheitsmechanismen umgehen und sich gegenüber Moodle als anderer Benutzer ausgeben. Entscheidend ist der UPN, also der User Principal Name eines O365-authentifizierten Kontos. In vielen Umgebungen ähnelt dieser Name einer E-Mail-Adresse und dient als eindeutiger Anmeldename innerhalb von Microsoft 365. Wer diesen Wert kennt oder herausfindet, kann ihn als Hebel für den Angriff nutzen.
Das macht die Schwachstelle so unangenehm: Der UPN ist kein geheimes Passwort. Solche Kennungen tauchen im Alltag an vielen Stellen auf, etwa in Verzeichnissen, Adressbüchern, Kurslisten, E-Mail-Kommunikation oder Support-Prozessen. Die Schwachstelle dreht sich daher nicht um das Knacken eines Passworts, sondern um eine fehlerhafte Absicherung der Identitätszuordnung. Wenn Moodle dem falschen Nutzer vertraut, können Berechtigungen an die falsche Person fallen.
Was ein Angreifer damit erreichen kann
Die Auswirkungen hängen stark davon ab, welche Identität der Angreifer imitieren kann. Wird ein normaler Kursnutzer nachgebildet, kann der Angreifer im Rahmen dieser Rechte handeln. Kritischer wird es, wenn die imitierte Identität erhöhte Rechte in Moodle besitzt: Trainer, Kursverwalter oder Administratoren können deutlich mehr sehen und ändern. Der gemeldete Angriffsweg umfasst ausdrücklich erweiterte Berechtigungen bis hin zu Administratorzugriff.
Administratorzugriff auf Moodle ist kein kleiner Nebenschauplatz. Wer dort mit Adminrechten agiert, kann Nutzerkonten verwalten, Kurse verändern, Inhalte einsehen, Konfigurationen anpassen und je nach Umgebung weitere angebundene Funktionen beeinflussen. Selbst wenn Microsoft 365 selbst nicht kompromittiert ist, kann eine missbrauchte Moodle-Sitzung erheblichen Schaden anrichten. Der Angriff nutzt dann die Schnittstelle zwischen Identitätsanbieter und Anwendung, nicht zwingend das Microsoft-Konto selbst.
Für Endanwender ist der Vorfall trotzdem relevant. Wenn eine Lernplattform oder ein internes Schulungsportal betroffen ist, können persönliche Daten, Kursaktivitäten oder abgegebene Arbeiten in den Fokus geraten. Für Organisationen kommt hinzu, dass Moodle oft mit realen Rollen und Verantwortlichkeiten arbeitet. Eine falsche Identität kann also nicht nur Daten sichtbar machen, sondern auch Abläufe verfälschen: Bewertungen, Kurszuweisungen oder administrative Änderungen wirken dann so, als kämen sie von einem legitimen Benutzer.
Warum der UPN im Mittelpunkt steht
Der Angriff setzt voraus, dass der Angreifer den UPN eines O365-authentifizierten Benutzers kennt oder ermitteln kann. Das ist eine klare Einschränkung, aber keine Entwarnung. Benutzerkennungen sind in vielen Microsoft-365-Umgebungen bewusst sichtbar, weil Menschen damit arbeiten: Sie schreiben E-Mails, teilen Dokumente, melden sich an Diensten an oder erscheinen in Teams und Verzeichnissen. Ein UPN ist damit oft leichter zu beschaffen als ein Passwort oder ein zweiter Faktor.
Gerade Konten mit Sonderrechten verdienen deshalb besondere Aufmerksamkeit. Ein Admin-UPN, der in Dokumentationen, Screenshots, Tickets oder öffentlichen Kontaktlisten auftaucht, kann einem Angreifer den entscheidenden Anknüpfungspunkt liefern. Die Schwachstelle verwandelt diese Kennung in einen Baustein für eine Rechteausweitung. Je mehr Rechte das Zielkonto in Moodle besitzt, desto größer ist der mögliche Schaden.
Betroffene Betreiber sollten die Lage nicht als reines Microsoft-365-Thema behandeln. Der kritische Punkt liegt im Zusammenspiel zwischen Moodle, dem Office-365-Plugin und der Authentifizierung. Auch wenn die Microsoft-Anmeldung im Alltag sauber funktioniert, kann eine fehlerhafte Verarbeitung innerhalb des Plugins dazu führen, dass Moodle einem falschen Benutzerkontext vertraut. Deshalb gehört die Prüfung in die Zuständigkeit der Personen, die Moodle betreiben, Plugins verwalten und Rollen in der Plattform vergeben.
Wer Moodle mit dem Microsoft Office 365 Plugin nutzt, sollte jetzt gezielt prüfen, wie die eigene Plattform angebunden ist und welche Konten über erhöhte Rechte verfügen. Sinnvoll ist ein pragmatisches Vorgehen: erst die betroffenen Installationen identifizieren, dann privilegierte Konten absichern und verdächtige Aktivitäten im Blick behalten.
- Prüfen Sie, ob Ihre Moodle-Installation das Microsoft Office 365 Plugin nutzt.
- Kontrollieren Sie, welche O365-authentifizierten Benutzer in Moodle erhöhte Rechte haben.
- Schützen Sie Administrator- und Trainerkonten besonders und vermeiden Sie unnötige Sonderrechte.
- Achten Sie auf ungewöhnliche Anmeldungen, Rollenwechsel und administrative Änderungen in Moodle.