Schwerwiegende Schwachstellen in Google Looker aufgedeckt

Veröffentlicht am 9. Februar 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Noch ein kleiner Nachtrag zu einer Information, die mich vor einigen Tagen erreichte. Sicherheitsforscher von Tenable Research habe zwei schwerwiegende Sicherheitslücken in in Google Looker entdeckt und als "LookOut" bezeichnet. Angreifer können ganze Systeme kapern, um Firmengeheimnisse zu stehlen.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Google Looker Studio ist, laut Wikipedia, eine Software zur Verwaltung und Visualisierung von Massendaten. Im Gegensatz zu Google Analytics können hier benutzerdefinierte und interaktive Berichte und Dashboards erstellt werden. Die Software richtet sich mit einer einfacheren Bedienung an unerfahrenere Anwender und lässt sich als Webanwendung über den Webbrowser aufrufen. Anwendung findet das Tool hauptsächlich im Bereich Suchmaschinenmarketing, Suchmaschinenoptimierung und E-Commerce. Die Google-Lösung kommt in mehr als 60.000 Unternehmen in 195 Ländern zum Einsatz.

Tenable Research findet LookOut-Schwachstellen

Tenable Research hat in Google Looker zwei schwerwiegende Sicherheitslücken mit der Bezeichnung "LookOut" entdeckt und dies kürzlich öffentlich gemacht.

Schwachstelle #1: RCE-Kette

Die kritischste Entdeckung, eine RCE-Kette (Remote Code Execution), ermöglicht es einem Angreifer, durch die Remote-Ausführung eigener bösartiger Befehle die vollständige Kontrolle über einen Looker-Server zu übernehmen. Auf diese Weise erhalten Angreifer praktisch Vollzugriff auf das gesamte System und können sensible Geheimnisse stehlen, Daten manipulieren oder weiter in das interne Netzwerk vordringen. In Cloud-Instanzen könnte die Schwachstelle möglicherweise einen mandantenübergreifenden Zugriff zur Folge haben.

"Ein solcher Zugriff ist besonders gefährlich, da Looker als zentrales Nervensystem für Unternehmensdaten fungiert und ein Angreifer nach dem Eindringen Daten manipulieren oder tiefer in das private interne Netzwerk eines Unternehmens vorstoßen könnte", erklärt Liv Matan, Senior Research Engineer bei Tenable, der die Untersuchung leitete.

Schwachstelle #2: Diebstahl der Locker-Datenbank

Die zweite Schwachstelle, die bei der Untersuchung aufgedeckt wurde, ermöglicht den Diebstahl der gesamten internen Verwaltungsdatenbank von Looker. Indem die Forscher das System mit einem Trick dazu brachten, sich mit seinem eigenen "privaten Gehirn" zu verbinden, konnten sie mit einer speziellen Methode zur Datenextraktion sensible Zugangsdaten sowie Konfigurationswerte und Geheimschlüssel herunterladen.

Google hat gepatcht, ziehen Anwender nach?

Google hat zwar schnell reagiert, um seinen Managed Cloud Service abzusichern, aber das Risiko für Unternehmen, die Looker auf ihren eigenen privaten Servern oder auf On-Prem-Hardware hosten, bleibt hoch. Diese Unternehmen müssen Sicherheits-Patches manuell anwenden, um diese Backdoors zu schließen, da sie derzeit die gesamte Bürde für den Schutz ihrer Infrastruktur vor einer möglichen administrativen Übernahme tragen.

"Angesichts der Tatsache, dass Looker oft das zentrale Nervensystem für die sensibelsten Daten eines Unternehmens ist, ist die Sicherheit der zugrundeliegenden Architektur von entscheidender Bedeutung. Es ist jedoch nach wie vor schwierig, solche Systeme abzusichern und gleichzeitig den Benutzern leistungsstarke Funktionen wie die Ausführung von SQL oder die indirekte Interaktion mit dem Dateisystem der Verwaltungsinstanz zu bieten", so Matan.

Um diese Schwachstellen auf eine potenzielle Ausnutzung hin zu überwachen, sollten Administratoren ihre Systeme auf spezifische Indikatoren für eine Kompromittierung überprüfen. Zunächst sollten sie das Dateisystem auf unerwartete oder nicht autorisierte Dateien im Verzeichnis „git/hooks/" der Looker-Projektordner untersuchen und dabei besonders auf Scripts mit den Namen „pre-push", „post-commit" oder „applypatch-msg" achten, die möglicherweise von einem Angreifer dort abgelegt wurden. Darüber hinaus sollten Sicherheitsteams die Anwendungsprotokolle auf Anzeichen von internem Verbindungsmissbrauch untersuchen und insbesondere nach ungewöhnlichen SQL-Fehlern oder Mustern, die auf fehlerhafte SQL-Injection für interne Looker-Datenbankverbindungen wie „looker__ilooker" abzielen, suchen.

Eine vollständige technische Aufschlüsselung der beiden "LookOut"-Schwachstellen hat Tenable in diesem Blog-Beitrag veröffentlicht.

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.