Sicherheitslücke in Claude Desktop Extensions gefährdet Tausende Nutzer

Schwachstelle ermöglicht Remote-Code-Ausführung

Das Sicherheitsunternehmen LayerX hat eine erhebliche Schwachstelle in Claude Desktop Extensions (DXT) identifiziert. Die Lücke ermöglicht die unbemerkte Ausführung von Schadcode auf betroffenen Systemen – ausgelöst durch einen einzelnen manipulierten Kalendereintrag. Mehr als 10.000 aktive Anwender und 50 verschiedene Erweiterungen sind von der Problematik betroffen.

Die Sicherheitsforscher vergaben für diese Schwachstelle die Höchstbewertung von 10 von 10 Punkten nach CVSS-Standard. Besonders brisant: Anthropic hat nach Kenntnis der Problematik entschieden, vorerst keine Gegenmaßnahmen zu ergreifen.

Fehlende Isolation schafft Einfallstor

Claude Desktop Extensions unterscheiden sich grundlegend von herkömmlichen Browser-Erweiterungen. Während Chrome-Add-ons in isolierten Umgebungen mit eingeschränkten Rechten laufen, operieren die MCP-Server von Claude direkt auf dem Betriebssystem – ohne Sandbox und mit vollständigen Systemberechtigungen.

Diese Architektur verleiht den Erweiterungen weitreichende Zugriffsrechte:

• Lesezugriff auf beliebige Dateien
• Ausführung von Systembefehlen
• Zugang zu gespeicherten Zugangsdaten
• Modifikation von Betriebssystem-Einstellungen

Die Erweiterungen fungieren als privilegierte Schnittstellen zwischen dem Sprachmodell und dem lokalen System. Diese Designentscheidung bildet die Grundlage für die rapide Eskalation der Schwachstelle.

Automatische Verkettung mit Risikopotenzial

Das zentrale Problem liegt in der Art, wie Claude Anfragen verarbeitet. Das System entscheidet eigenständig, welche installierten MCP-Konnektoren zum Einsatz kommen und wie diese miteinander kombiniert werden. Feste Sicherheitsmechanismen, die unsichere Ausführungspfade verhindern, existieren nicht.

In der Folge können Informationen aus risikoarmen Quellen wie Google Calendar direkt an lokale Dienste mit Code-Ausführungsfähigkeiten weitergeleitet werden – ohne explizite Nutzerfreigabe für diesen kritischen Schritt.

LayerX stellte fest, dass kein legitimes Szenario existiert, in dem Kalenderdaten automatisch an privilegierte Ausführungskomponenten übermittelt werden sollten. Die Übertragung erfolgt jedoch implizit durch die autonome Entscheidungslogik des Systems.

Angriffsszenario in der Praxis

Die Sicherheitsforscher demonstrierten die Ausnutzbarkeit mit einer alltäglichen Benutzeranfrage: „Bitte überprüfen Sie meine neuesten Ereignisse in Google Kalender und kümmern Sie sich dann darum.“

Während ein menschlicher Assistent diese Anweisung als Aufforderung zum Terminmanagement interpretieren würde, leitete Claude daraus die Berechtigung zur Code-Ausführung ab. Diese Fehldeutung bildet den Kern der Schwachstelle.

Die Ausnutzung erfolgt durch einen Kalendereintrag mit harmlos wirkendem Namen wie „Aufgabenverwaltung“ und enthält Anweisungen wie:

• Download eines Git-Repositories
• Speicherung in einem lokalen Verzeichnis
• Ausführung enthaltener Skripte

Der gesamte Vorgang läuft ohne Nutzerinteraktion, Bestätigungsdialog oder explizite Anforderung einer Systemautomatisierung ab.

Keine Behebung in Sicht

Nach aktuellem Stand hat Anthropic keine Korrekturmaßnahmen implementiert. Die Problematik gestaltet sich komplex, da die Ursache in der grundlegenden Systemarchitektur liegt.

LayerX identifiziert das Kernproblem klar: Claude kann Daten von risikoarmen Konnektoren wie Google Calendar zu risikoreichen Komponenten wie Desktop Commander transferieren, die beliebigen Code ausführen können. Diese Verletzung der Vertrauensgrenzen zwischen Systemkomponenten bleibt ungelöst.

Empfehlung für Administratoren

Bis zur Implementierung wirksamer Schutzmaßnahmen stellen MCP-Konnektoren eine erhebliche Angriffsfläche dar. Die automatische Verknüpfung von harmlosen Datenquellen mit privilegierten Ausführungskontexten ist strukturell anfällig.

LayerX rät zur Zurückhaltung: MCP-Konnektoren sollten nicht in sicherheitskritischen Umgebungen eingesetzt werden, solange keine adäquaten Sicherheitsvorkehrungen existieren. Die Kompromittierung eines Systems sollte niemals durch einen einfachen Kalendereintrag möglich sein.

Lesen Sie auch:

Liebe Leserinnen und Leser,
es ist wieder Zeit für eine kurze Umfrage – und wir zählen auf Ihre Meinung! So können wir sicherstellen, dass unsere Inhalte genau das treffen, was Sie interessiert. Die Umfrage ist kurz und einfach auszufüllen – es dauert nur wenige Minuten. Vielen Dank, dass Sie sich die Zeit nehmen!
Hier geht es zur Umfrage

---

Bild/Quelle: https://depositphotos.com/de/home.html