Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad en Claude Cowork permite ejecutar comandos como root


Se ha descubierto una cadena de vulnerabilidades en Claude Cowork de Anthropic que permite a un atacante con ejecución de código local escalar privilegios y ejecutar comandos arbitrarios como root. Esto permite evadir todas las capas de defensa del entorno de sandbox de Linux del producto, el cual está diseñado para que usuarios no técnicos utilicen Claude Code.





Una cadena de vulnerabilidades en Claude Cowork de Anthropic permite que un atacante con ejecución de código local escale privilegios y ejecute comandos arbitrarios como root dentro del sandbox de Linux aislado del producto, saltándose cada capa de defensa que Anthropic integró en el entorno.

Claude Cowork es el producto de Anthropic para trabajadores del conocimiento, diseñado para que usuarios no técnicos puedan aprovechar Claude Code para crear herramientas y procesar datos.

En Windows, Cowork envuelve Claude Code dentro de una VM de Ubuntu aislada por Hyper-V, protegida por RPC de tuberías con nombre (named-pipe) restringido por Authenticode, espacios de nombres de bubblewrap, usuarios sin privilegios por sesión, un filtro seccomp y un proxy de salida restringido por dominio.

Vulnerabilidad del Sandbox de Cowork

La investigación de Armadin tenía como objetivo ejecutar discretamente código arbitrario dentro de la VM como root con acceso a la red sin restricciones, y lo logró.

Cadena de Ataque (Fuente: Armadin)

Cowork en Windows provisiona su sandbox a través del Host Compute Service, ejecutando una VM de Ubuntu invisible para las herramientas estándar de Hyper-V (confirmable solo mediante hcdiag list como Administrador).

Un servicio del Sistema Local, CoworkVMService, gestiona las conexiones de escritorio a través de una tubería con nombre (\\.\pipe\cowork-vm-service) que aloja un servidor RPC basado en JSON.

CoworkVMService valida las conexiones utilizando comprobaciones de firma de Authenticode, confirmando que quien llama está firmado por “Anthropic, PBC”. Los intentos de Armadin de evadir esto mediante bloques de firmas clonados o cadenas de confianza alternativas fallaron contra WinVerifyTrust.

En su lugar, los investigadores pivotaron hacia la carga lateral de DLL (DLL sideloading) (MITRE ATT&CK T1574.002). Descubrieron que claude.exe resuelve USERENV.dll desde su propio directorio de aplicación antes de recurrir a la copia del sistema.

Al crear una DLL maliciosa que exportara GetUserProfileDirectoryW y nombrarla USERENV.dll, Armadin logró la ejecución de código arbitrario dentro de un binario de Anthropic legítimamente firmado, satisfaciendo la verificación de identidad de la tubería sin romperla.

Con la ejecución de código dentro de claude.exe, Armadin utilizó un agente de codificación de IA para realizar la ingeniería inversa del protocolo RPC a partir de registros de servicio, mensajes de error y fuzzing de JSON. El protocolo utilizaba un marco simple de [longitud de 4 bytes][carga útil JSON], exponiendo métodos como configure, startVM, isGuestConnected y, fundamentalmente, spawn.

La mayoría de las protecciones del sandbox se mantuvieron firmes bajo ataque directo: useradd rechazó nombres de usuario reservados como root, el proxy de salida bloqueó dominios que no estaban en la lista blanca con errores 403, y las uniones NTFS no fueron seguidas hacia el invitado.

La brecha provino de dos parámetros de spawn reenviados literalmente al sdk-daemon de la VM: isResume y allowedDomains. Al realizar fuzzing de JSON malformado, Armadin utilizó los errores descriptivos de desmarshaling de Go para enumerar el esquema completo de parámetros.

Normalmente, isResume: false obliga a la creación de un nuevo usuario sin privilegios. Pero al establecer isResume: true, se evadió completamente la comprobación de usuario existente, permitiendo que el demonio ejecutara comandos como cualquier usuario especificado, incluido root, sin validación.

Enviar {"name": "root", "isResume": true} devolvió una shell de root dentro del sandbox de bubblewrap.

Armadin ha validado la cadena de ataque completa contra la versión 1.9255.2.0 de Claude Desktop para Windows. Aunque el modelo de amenazas de Anthropic no considera los requisitos de ejecución local, este hallazgo enfatiza que los límites de privilegios dentro de las herramientas de agentes de IA "sandboxed" pueden ser evadidos fácilmente una vez que se obtiene el acceso inicial.


Fuentes:
https://cybersecuritynews.com/claude-coworks-sandbox-vulnerability/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.