macOS Güvenlik Açığı: Standart Kullanıcılar EDR ve MDM’yi Devre Dışı Bırakabiliyor Windows

macOS Güvenlik Açığı: Standart Kullanıcılar EDR ve MDM’yi Devre Dışı Bırakabiliyor

macOS'taki bir ayrıcalık yükseltme tekniği, standart kullanıcıların kurumsal güvenlik araçlarını sessizce devre dışı bırakmasına izin veriyor.

Siber güvenlik araştırmacıları, macOS işletim sisteminde standart kullanıcı hesaplarının kurumsal güvenlik araçlarını sessizce devre dışı bırakmasına olanak tanıyan bir ayrıcalık yükseltme açığı keşfetti. XM Cyber tarafından yapılan araştırmaya göre, bu açık, özellikle uç nokta algılama ve yanıt (EDR) ile mobil cihaz yönetimi (MDM) ürünlerini hedef alıyor. Teknik, macOS'un güvenilir yazılım doğrulama mekanizmasını kötüye kullanarak, ayrıcalıklı işlevlere kimlik doğrulama olmadan erişim sağlıyor.

Açık, macOS uygulamalarının arka plan süreçleriyle iletişim kurmak için kullandığı XPC hizmetinde yatıyor. Birçok macOS uygulaması, ayrıcalıklı bir yardımcıyı root olarak çalıştırır ve kendi imzalı bileşenlerinin bu yardımcıyla XPC üzerinden iletişim kurmasına izin verir. XM Cyber, macOS'un bu güveni imzalı bir uygulama ilk çalıştırıldıktan sonra önbelleğe aldığını keşfetti. Saldırgan, meşru bir uygulamayı başlatıp, kötü niyetli bir arayüz dosyası yükleyerek bu güvenilir durumu miras alabiliyor ve yardımcının en hassas işlevlerini kimlik doğrulama olmadan çağırabiliyor.

XM Cyber, bu tekniği CrowdStrike'ın Falcon sensörü ve Kandji'nin MDM ajanı üzerinde test etti. CrowdStrike Falcon'da, standart bir kullanıcı hesabından ajanın tamamen kaldırılabildiği, algılama, süreç izleme ve ağ görünürlüğünün durdurulabildiği görüldü. CrowdStrike, desteklenen macOS sensör sürümlerinde tespit ve önleme mekanizmaları eklediğini açıkladı. Kandji ise açığı gidererek CVE-2026-39118 atamasını aldı.

Araştırmacı Hillel Pinto, aynı zafiyeti taramak için XPC Hunter adlı açık kaynak bir araç geliştirdi. Saldırının önceden bir yer edinme gerektirdiğini ve standart bir yerel hesap üzerinden yapılabildiğini belirten Pinto, bu tekniği 'modern uç nokta güvenlik modellerinde büyük bir boşluk' olarak nitelendirdi. Çözümün, geliştiricilerin macOS 13'ten beri sunulan kimlik doğrulama kontrollerini kullanarak XPC el sıkışması sırasında arayanın kimliğini doğrulaması olduğu belirtiliyor.

Paylaş: