Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ataque de agente doble de IA hace que Claude Desktop ejecute código remoto


Investigadores de Pentera Labs han descubierto que un buzón de correo electrónico comprometido puede utilizarse para lograr la ejecución remota de código en la máquina de una víctima. El ataque no emplea malware ni enlaces de phishing, sino que convierte el propio asistente Claude Desktop del usuario en un arma contra él, comenzando el proceso a través del acceso a una plataforma de terceros que agrega bandejas de entrada de clientes.



Una bandeja de entrada de correo electrónico comprometida puede convertirse en un arma para la ejecución remota de código completa en la máquina de una víctima, no a través de malware o enlaces de phishing, sino volviendo el propio asistente Claude Desktop de la víctima en su contra.

El ataque, descubierto por investigadores de seguridad de Pentera Labs, comenzó con el acceso a una plataforma de terceros que agrega bandejas de entrada de correo electrónico de clientes, obtenido mediante la explotación de un flujo de autenticación.

En lugar de seguir las rutas convencionales de restablecimiento de contraseñas o phishing, el equipo utilizó el acceso a la bandeja de entrada para moverse lateralmente hacia la cuenta de Claude de la víctima e identificó el campo de "Preferencias Personales" —un prompt editable por el usuario que se sincroniza en cada dispositivo y sesión vinculada a la cuenta— como la superficie de ataque ideal.

Claude Desktop para ejecutar código remoto

Al inyectar un prompt codificado y no obvio en este campo sincronizado, los investigadores lograron que Claude Desktop adoptara silenciosamente instrucciones controladas por el atacante en el momento en que la víctima abriera la aplicación la siguiente vez, sin que se activara ninguna re-autenticación o advertencia visible.

La carga útil instruyó a Claude para enumerar las extensiones instaladas con capacidad de comando, como la herramienta MCP Desktop Commander, y ejecutar a través de ellas comandos suministrados por el atacante.

Cadena de Ataque (Fuente: PENTERA)

Si ya existía una extensión con capacidad de comando, Claude ejecutaba las instrucciones maliciosas automáticamente durante un chat rutinario, requiriendo cero interacción adicional de la víctima.

Si no existía tal extensión, el propio Claude se convertía en el vector de ingeniería social: mostraba un mensaje de error falso y convincente que instaba al usuario a instalar Desktop Commander, acompañado de una página de instalación con apariencia legítima.

Una vez instalada, el siguiente mensaje ordinario de la víctima activaba la ejecución de código, convirtiendo efectivamente al asistente de confianza en un canal persistente de comando y control que podía obtener y ejecutar comandos rotativos del atacante.

Investigaciones independientes han sacado a la luz debilidades relacionadas en el ecosistema de extensiones de Claude. LayerX reveló previamente un RCE de "cero clics" que afectaba a las Extensiones de Claude Desktop (DXT), que podía activarse mediante un evento de calendario redactado maliciosamente, obteniendo una puntuación CVSS de 10.

Koi Security encontró similarmente fallos de inyección de comandos no saneados en los conectores de Chrome, iMessage y Apple Notes de Anthropic, calificados con un CVSS de 8.9 y ya parcheados. Juntos, estos hallazgos apuntan a un patrón sistémico: las extensiones locales que ejecutan código, sumadas a la confianza en el lenguaje natural, crean una amplia superficie de ataque.

Pentera informó sus hallazgos a Anthropic en noviembre de 2025. Anthropic reconoció la investigación pero se negó a clasificarla como una vulnerabilidad de seguridad, afirmando que las "preferencias personales, habilidades y conectores MCP" están diseñados para ejecutar código a través de Claude Desktop por intención, calificando el comportamiento como "funcionalidad esperada en lugar de una vulnerabilidad de seguridad".

La empresa señaló que existen salvaguardas relacionadas en su hoja de ruta y señaló los controles de gestión de sesión y autenticación de cuenta existentes como mitigaciones, al tiempo que enfatizó que el ataque requiere un compromiso previo de la cuenta.

Se insta a los equipos de seguridad a tratar las aplicaciones de escritorio de IA como software privilegiado capaz de ejecutar código y tocar archivos locales, monitorear cambios no autorizados en la configuración sincronizada del asistente y restringir qué extensiones pueden emparejarse con los clientes de IA.

A medida que los asistentes de IA desdibujan la línea entre la interfaz de chat y el agente del sistema, la brecha entre sus capacidades percibidas y reales está emergiendo como un riesgo empresarial distinto y actualmente poco monitoreado.



Fuentes:
https://cybersecuritynews.com/claude-desktop-to-execute-remote-code/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.