Güvenlik firması XM Cyber, standart kullanıcı hesaplarının yönetici yetkilerine ihtiyaç duymadan bazı kurumsal güvenlik araçlarını devre dışı bırakmasına olanak tanıyan bir macOS tekniği keşfetti. Araştırmacılar, bulgularını Ağustos ayında düzenlenecek Black Hat Arsenal sunumu öncesinde paylaştı ve XPC Hunter adını verdikleri açık kaynaklı bir aracı tanıtmaya hazırlanıyor.
XM Cyber, macOS üzerinde CrowdStrike Falcon ve Kandji gibi güvenlik çözümlerine karşı başarılı saldırılar gerçekleştirdiğini bildirdi. Söz konusu teknik uzaktan bir saldırı yöntemi değil, saldırganların öncelikle hedef Mac üzerinde standart bir kullanıcı hesabına erişim sağlaması gerekiyor.
Mevcut bir hesaba erişim gerekliliği saldırının kapsamını sınırlasa da, bu durum araştırmanın önemini azaltmıyor. Bir Mac cihazına erişim sağlayan saldırganlar, sisteme daha derinlemesine sızmadan önce genellikle izleme araçlarını etkisiz hale getirmeye çalışıyor.
Güvenilir macOS iletişim kanalları hedefte
XM Cyber, CrowdStrike Falcon güvenlik sensörünü standart bir kullanıcı hesabından ayrıcalıklı bir XPC yöntemini kötüye kullanarak kaldırdı. Ayrıca araştırmacılar, Kandji’nin kaldırma korumalarını devre dışı bıraktı ve uç nokta koruma özelliklerini ayrıcalıklı XPC çağrı zincirleri aracılığıyla kapattı.
Bu gösterimlerin hiçbiri çekirdek istismarı veya Sistem Bütünlüğü Koruması atlatması gerektirmedi. Kandji, bildirilen güvenlik açığını düzeltti ve kamuya açık bilinen bilgisayar açıkları veritabanında CVE-2026-39118 kodunu atadı.
XPC, uygulamalar ve arka plan servisleri arasında iletişim kurmak için kullanılan bir Apple çerçevesidir. Geliştiriciler, ayrıcalıklı işlevleri kullanıcıya yönelik yazılımlardan ayrı tutarken yönetici eylemleri talep etmek için XPC’den yararlanıyor.
XM Cyber, bazı geliştiricilerin hangi yazılımın hassas XPC yöntemlerini çağırabileceğine karar verirken kod imzalama güvenine fazla güvendiğini savunuyor. Araştırmacılar, bu tekniğin uygulamaların ayrıcalıklı servislere gönderilen istekleri nasıl doğruladığını hedeflediğini belirtiyor.
Saldırı, bir kullanıcı meşru ve imzalı bir uygulamayı başlattığında macOS’in güven parmak izini önbelleğe almasıyla başlıyor. Araştırmacılar, bir saldırganın uygulama paketinin bazı bölümlerini kötü amaçlı bir yük ile değiştirirken bu güven ilişkisini koruyabildiğini iddia ediyor.
Önbelleğe alınan güven ilişkisi, standart bir kullanıcı hesabının normalde güvenilir yazılım bileşenlerine ayrılmış ayrıcalıklı XPC yöntemlerini çağırmasına izin verebiliyor. XM Cyber, sorunun doğrudan macOS güvenlik korumalarının atlatılmasından ziyade bazı uygulamaların güveni kurma biçiminden kaynaklandığını savunuyor.
Kurumsal Mac dağıtımları için güvenlik önlemleri
CrowdStrike Falcon, Kandji ve benzeri ürünler, kuruluşların cihazları izlemesine, güvenlik politikalarını uygulamasına ve tehditlere yanıt vermesine yardımcı oluyor. Bu bulgular, Mac cihazlarının kurumsal ortamlarda giderek daha fazla tercih edildiği bir dönemde ortaya çıkıyor.
Güvenlik yazılımları ve yönetim ajanları, genellikle ele geçirilmiş bir kullanıcı hesabı ile şirket verilerine erişim arasında duran sistemlerdir. Yönetici kimlik bilgilerinin eksikliği, bu araştırmayı dikkat çekici kılan temel unsurlardan biridir.
Kandji’nin CVE ataması, en az bir satıcının bu teknikle belirlenen belirli bir güvenlik açığını kabul edip düzelttiği için araştırmaya ek ağırlık kazandırıyor. Satıcılar daha geniş kapsamlı bulguları araştırmaya devam ederken, Apple henüz konuyla ilgili kendi güvenlik danışma belgesini yayınlamadı.
XM Cyber, 5 Ağustos’ta Las Vegas’taki Black Hat Arsenal etkinliğinde XPC Hunter aracını yayınlamayı planlıyor. Araştırmacılar burada aracı gösterecek ve macOS XPC saldırı tekniğini daha ayrıntılı bir şekilde tartışacaklar.
XM Cyber’ın araştırması, saldırganların bu tekniği kullanabilmesi için mevcut bir kullanıcı hesabına erişim sağlamasını gerektiriyor. Güçlü parolalar ve çok faktörlü kimlik doğrulama, bir saldırganın ilk adımı atma şansını azaltabiliyor.
Mac kullanıcıları, satıcılar bulguları araştırıp düzeltmeleri yayınlarken güvenlik yazılımlarını, cihaz yönetim araçlarını ve macOS’in kendisini güncel tutmalıdır. Büyük Mac dağıtımlarını yöneten kuruluşlar, ek hafifletmeler ve güvenlik güncellemeleri için satıcı rehberlerini gözden geçirmelidir.
