Bezpečnostní společnost XM Cyber objevila novou zranitelnost v macOS, která umožňuje standardním uživatelským účtům deaktivovat některé firemní bezpečnostní nástroje, a to bez nutnosti zadávat administrátorské přihlašovací údaje. Výzkumníci tyto znepokojivé výsledky zveřejnili před svým plánovaným vystoupením na prestižní srpnové konferenci Black Hat Arsenal v Las Vegas. Na ní chtějí předvést open-source nástroj s názvem XPC Hunter a demonstrovat úspěšné útoky proti předním bezpečnostním řešením CrowdStrike Falcon a Kandji.
Zneužití důvěryhodné komunikace XPC
Nejedná se o vzdálený útok, útočník musí nejprve získat přístup k běžnému uživatelskému účtu na cílovém Macu. To sice omezuje celkový dosah, ale pro podnikovou sféru jde o obrovské riziko. Hackeři se totiž po průniku do systému standardně snaží nejprve oslepit monitorovací nástroje, než začnou postupovat hlouběji do firemní sítě. Experti z XM Cyber dokázali ze standardního účtu kompletně odpojit bezpečnostní senzor CrowdStrike Falcon a u nástroje Kandji deaktivovali ochranu proti odinstalaci, k čemuž zneužili privilegované metody systémového frameworku XPC. K úspěšnému útoku přitom nepotřebovali žádný exploit jádra ani obcházení integrované ochrany integrity systému (SIP) v macOS.
Fotogalerie
XPC je oficiální framework od Applu, který slouží ke komunikaci mezi aplikacemi a službami na pozadí, přičemž vývojáři ho běžně používají k oddělení privilegovaných správcovských akcí od běžného softwaru. Podle XM Cyber však někteří tvůrci aplikací až příliš spoléhají na důvěru spojenou s digitálním podpisem kódu (code-signing). Útok funguje tak, že uživatel spustí legitimní podepsanou aplikaci, macOS si uloží otisk její důvěryhodnosti do mezipaměti, ale útočník pak dokáže upravit části balíčku aplikace a propašovat do něj škodlivý kód, přičemž systém aplikaci stále považuje za bezpečnou. Díky této neoprávněné důvěře pak může obyčejný uživatelský účet spouštět privilegované příkazy vyhrazené pro správce.
Opravy už běží, Apple zatím mlčí
Tento problém se pravděpodobně netýká pouze dvou zmiňovaných produktů, ale jde o širší architektonický nedostatek v tom, jak vývojáři ověřují oprávnění volajících služeb. Společnost Kandji již na hrozbu zareagovala, bezpečnostní díru opravila a v oficiální databázi jí přidělila označení CVE-2026-39118. Ostatní zasažení dodavatelé situaci prověřují. Samotný Apple prozatím k tomuto výzkumu nevydal žádné bezpečnostní varování ani zjištění nezávisle nepotvrdil.
Mohlo by vás zajímat
Jelikož produkty jako CrowdStrike Falcon nebo Kandji chrání obrovské flotily firemních Maců před kybernetickými hrozbami, je absence potřeby administrátorských práv u tohoto útoku pro firmy velmi varovná. Většina podnikových obran totiž automaticky předpokládá, že běžný uživatel nemá k podobným krokům pravomoc. Pro běžnou obranu se správcům doporučuje vynutit silná hesla a vícefaktorové ověřování (MFA), což minimalizuje riziko, že útočník získá v systému prvotní zázemí. Zároveň je klíčové udržovat veškerý bezpečnostní software, správcovské nástroje i samotný macOS neustále aktualizovaný. Detailní ukázka útoku a vydání nástroje XPC Hunter proběhne na zmiňované akci Black Hat Arsenal již 5. srpna.
