Kurumsal güvenlik araçlarını sıradan bir kullanıcı hesabından sessizce devre dışı bırakan ve önemli uç nokta algılama ve yanıt (EDR) ile mobil cihaz yönetimi (MDM) ürünlerini etkileyen bir macOS ayrıcalık yükseltme tekniği açıklandı.
Risk yönetimi uzmanı XM Cyber'in yeni araştırması, root olmayan bir kullanıcının, kimlik doğrulama olmadan ayrıcalıklı işlevleri çağırmak için macOS'un güvenilir yazılım doğrulamasını kötüye kullanabileceğini buldu.
Kusur, macOS uygulamalarının arka plan işlemleriyle iletişim kurmak için kullandığı hizmet olan XPC'de yatıyor ve XM Cyber, bunun birçok uygulamayı etkilediğini söyledi.
Güvenlik Araçlarını Kendilerine Karşı Çevirmek
Birçok macOS uygulaması ayrıcalıklı bir yardımcıyı kök olarak çalıştırır ve kendi imzalı bileşenlerinin onunla XPC aracılığıyla iletişim kurmasına izin verir. Yardımcı, arayanlara CDHash olarak bilinen kod imzalarına göre güvenir.
XM Cyber, imzalı bir uygulama ilk kez çalıştırıldıktan sonra macOS'un bu güveni önbellekte tuttuğunu buldu. Bir saldırgan meşru bir uygulamayı başlatabilir, kötü amaçlı bir arayüz dosyası yüklemek için onu kurcalayabilir ve ardından güvenilir durumunu devralabilir. Bu güvenilir bağlamdan kod, yardımcının en hassas işlevlerini kimlik doğrulama olmadan çağırabilir.
XM Cyber, bunların komutları çalıştırmak veya uygulamaları ve sistem uzantılarını kapatmak için yerleşik yöntemler içerdiğini söyledi. Saldırgan bunları, kendi kurcalama korumasını atlayarak bir güvenlik ürününü devre dışı bırakmak veya kendisini kaldırmak için kullanabilir.
Nasıl Önlem Alınmalı?
Teknik, normal macOS davranışını kötüye kullandığı için araştırmacılar, neredeyse hiçbir adli iz bırakmadığını söyledi.
CrowdStrike Bulgulara Yanıt Veriyor
Sistem Güvenliği
XM Cyber, tekniğin iyi bilinen uç nokta araçlarına karşı doğrulandığını söyledi. CrowdStrike'ın Falcon sensöründe, aracıyı standart bir kullanıcı hesabından tamamen kaldırarak algılamayı, süreç izlemeyi ve ağ görünürlüğünü ortadan kaldırdı.
CrowdStrike, o zamandan beri desteklenen macOS sensör sürümlerine algılama ve önleme ekledi. Firma ayrıca Kandji'nin düzeltilen ve CVE-2026-39118 ile atanan MDM aracısını da devre dışı bıraktı.
Infosecurity Magazine'e konuşan bir CrowdStrike sözcüsü, "Teknik bir macOS sorununu kullanıyor ve Falcon sensörü için tespitlerimiz ve önlemlerimiz var" dedi.
Keşfin arkasındaki araştırmacı XM Cyber'den Hillel Pinto, yüklü macOS uygulamalarını aynı zayıflığa karşı tarayan açık kaynaklı bir araç olan XPC Hunter'ı da geliştirdi ve bunu Ağustos ayında Black Hat ABD'de sunmayı planlıyor.
Detaylar ve Etkileri
Saldırının mevcut bir dayanağa, standart bir yerel hesaba ihtiyacı var, bu nedenle XM Cyber bunu esas olarak içeriden gelen veya uzlaşma sonrası bir tehdit olarak çerçeveledi.
Güvenlik yazılımını devre dışı bırakan saldırılar hakkında daha fazlasını okuyun: GentleKiller Çerçevesi Kurbanların Güvenlik Yazılımını Devre Dışı Bırakıyor
Teknik Analiz
XM Cyber, düzeltmenin basit olduğunu söyledi: geliştiriciler, önbelleğe alınmış imzaya güvenmek yerine Apple'ın macOS 13'ten bu yana sunduğu kontrolleri kullanarak XPC anlaşması sırasında arayanın kimliğini doğrulamalı.
Pinto, kuruluşların bu tekniği "modern uç nokta güvenlik modellerinde büyük bir boşluk" olarak ele alması gerektiğini söyledi. Adı geçen satıcılara yama uygulandığında, daha büyük risk, onu kapatmayan diğer birçok macOS uygulamasında yatmaktadır.
Güncelleme 25 Haziran, 14.30: Bu hikaye CrowdStrike'ın yorumunu içerecek şekilde güncellendi.