Claude Desktop沙箱漏洞:黑客可获取虚拟机Root权限
近日,安全研究团队Armadin披露了Anthropic公司开发的Windows版Claude Desktop应用程序的一项重大安全漏洞。该漏洞主要影响基于Hyper-V技术构建的Ubuntu虚拟机环...
近日,安全研究团队Armadin披露了Anthropic公司开发的Windows版Claude Desktop应用程序的一项重大安全漏洞。该漏洞主要影响基于Hyper-V技术构建的Ubuntu虚拟机环境,允许攻击者通过特定技术手段在虚拟机内部获取最高权限(root权限),从而突破原本设定的安全限制。
Claude Desktop是Anthropic推出的一款面向开发者和工作者的自动化工具,其核心功能之一是通过隔离环境运行Claude Code,以降低潜在的安全风险。然而,研究人员发现,问题出在Windows本地服务CoworkVMService上。该服务负责接收Claude Desktop发出的请求,并将指令转发至虚拟机内部执行。通过利用DLL侧载(DLL Sideloading)技术,攻击者可以诱使经过Anthropic数字签名的claude.exe加载恶意DLL文件,从而在合法进程中运行恶意代码,成功绕过CoworkVMService的身份验证机制。
具体而言,研究人员发现两个关键参数可以被攻击者利用:第一个参数允许指定命令以Linux已有的用户身份执行,攻击者借此指定root账户,从而在虚拟机中获得最高权限;第二个参数则可以覆盖单次任务允许访问的域名白名单,突破原先设定的外部网络访问限制。
结合这两项操作,攻击者不仅可以在虚拟机内部获取最高权限,还能访问同一虚拟机中的运行进程及工作会话数据信息,并将这些信息发送到黑客控制的外部服务器中。这种攻击路径使得攻击者能够完全控制虚拟机环境,包括访问存储在其中的所有敏感数据。
对此,Anthropic公司表示,该攻击链必须建立在攻击者已经获得Windows主机本地代码执行能力的基础上,因此未将其认定为安全漏洞。然而,Armadin团队认为,这实际上是Claude Desktop自身设计上的缺陷,建议企业如果无需使用Claude Cowork功能,应直接卸载Claude Desktop;若必须使用,则应限制能够运行Claude Desktop的用户,并监控claude.exe是否从非系统目录加载可疑DLL文件,以降低遭受相关攻击的风险。
从技术角度来看,此次漏洞暴露了虚拟化环境中的一些深层次安全问题。首先,DLL侧载攻击的成功表明,即使应用程序经过数字签名,仍然可能被恶意代码利用。其次,虚拟机内部的安全配置过于宽松,允许攻击者通过简单的参数修改就获得最高权限。最后,跨虚拟机的通信机制(如HVSocket)可能存在设计缺陷,导致攻击者能够将恶意行为扩展到外部网络。
对于企业和开发者来说,这一漏洞提醒他们在使用类似自动化工具时需要格外小心。除了遵循厂商的安全建议外,还应该定期审查系统的安全配置,确保所有组件都处于最新状态,并采取多层次的安全防护措施,包括但不限于网络隔离、入侵检测和日志审计。
图1展示了攻击者如何通过编写恶意DLL文件(USERENV.dll),利用claude.exe加载该文件,进而绕过CoworkVMService的身份验证机制,最终在虚拟机内部获取root权限的过程。该图清晰地描绘了攻击链的各个阶段,包括本地代码注入、虚拟机内部权限提升以及数据外泄等关键步骤。