Introduction
Les chercheurs en sécurité d'Armadin Inc. ont révélé une chaîne d'attaque qui permet d'exécuter des commandes arbitraires en tant que root à l'intérieur du sandbox de Claude Cowork d'Anthropic, contournant ainsi la couche d'isolation. Cette faille de sécurité a été signalée à Anthropic, qui considère toutefois qu'il ne s'agit pas d'un problème de sécurité.
Contexte Technique
Claude Cowork est un produit d'Anthropic conçu pour les travailleurs du savoir, automatisant les tâches non techniques et exécutant Claude Code à l'intérieur d'un sandbox pour ce faire. Sur Windows, le sandbox est une machine virtuelle Ubuntu isolée par Hyper-V, entourée de plusieurs couches de protection, notamment une communication à signature contrôlée, des utilisateurs non privilégiés par session, un filtre seccomp et un proxy qui restreint les domaines que la machine peut atteindre.
Les chercheurs d'Armadin ont utilisé une technique appelée DLL sideloading pour charger du code contrôlé par l'attaquant dans un binaire légitimement signé, contre claude.exe lui-même. Ils ont ensuite reconstruit l'ensemble de commandes non documenté du service en lisant ses fichiers journaux et en fournissant des entrées malformées pour voir quelles erreurs nommaient les champs attendus.
Analyse et Implications
La faille de sécurité combinée à une autre vulnérabilité permet d'exécuter des commandes en tant que root, de sortir du sandbox et d'exfiltrer le fichier de mots de passe de la machine vers un hôte contrôlé par l'attaquant. Cela soulève des préoccupations quant à la sécurité des outils de productivité basés sur l'IA sur les points de terminaison corporatifs.
Armadin note que les machines virtuelles locales étaient historiquement une fonctionnalité pour les développeurs et que les pousser sur des systèmes d'utilisateurs non techniques crée des lacunes de visibilité que les produits de sécurité des points de terminaison peinent à voir.
Perspective
Pour les organisations qui n'ont pas besoin de Cowork, la société recommande de désinstaller Claude Desktop, ce qui supprime le service. Lorsque Cowork est nécessaire, la liste d'autorisation des applications peut limiter les comptes que une charge de sideloading peut cibler, et la surveillance des chargements inattendus de USERENV.dll en dehors du répertoire système signale la technique.
Armadin est une entreprise spécialisée dans la simulation d'attaque basée sur l'IA, qui a levé 189,9 millions de dollars en financement en mars pour développer sa plateforme.