江蘇
關(guān)鍵詞
漏洞
網(wǎng)絡(luò)安全公司 XM Cyber 演示了一種 macOS 攻擊技術(shù),允許標(biāo)準(zhǔn)的非管理用戶賬戶靜默禁用企業(yè)端點安全工具,包括 EDR 和 MDM 代理,而不會觸發(fā)警報或需要內(nèi)核漏洞利用。
一些底層原語,包括濫用弱驗證的 XPC 連接以及將惡意載荷注入應(yīng)用程序的 Interface Builder(NIB)文件,已被安全研究人員公開記錄多年,并且 Apple 已部分解決。
然而,該研究引入了一種新穎的攻擊鏈,利用了合法簽名應(yīng)用程序執(zhí)行后內(nèi)核代碼簽名信任緩存的持久性,允許攻擊者注入冒充受信任應(yīng)用組件的惡意載荷,并靜默調(diào)用特權(quán) XPC 方法。
該網(wǎng)絡(luò)安全公司指出,該攻擊技術(shù)濫用了合法的 macOS 行為,而非軟件漏洞。
該技術(shù)已成功針對 CrowdStrike Falcon Sensor 進行演示——從標(biāo)準(zhǔn)用戶賬戶完全卸載了該傳感器;以及針對 Kandji MDM——通過兩階段鏈永久禁用了該 MDM。XM Cyber 表示,針對 Kandji 的利用清除了 EDR 防護并終止了 Endpoint Security Framework 擴展。
據(jù)該安全公司稱,CrowdStrike 迅速修復(fù)了該問題,支付了賞金,并在所有受支持的 macOS 傳感器版本上添加了檢測和預(yù)防功能。Kandji 已修補該問題,并將 CVE-2026-39118 分配給該漏洞。第三家未具名的企業(yè) EDR 供應(yīng)商也成功被攻擊,目前正在開發(fā)補丁。
XM Cyber 研究員 Hillel Pinto 將發(fā)布一個名為 XPC Hunter 的開源發(fā)現(xiàn)工具,該工具可自動識別所有已安裝 macOS 應(yīng)用程序中可利用的 XPC 權(quán)限提升面,完整演示計劃于 2026 年 8 月的 Black Hat USA 上進行。
SecurityWeek 已聯(lián)系 Apple、CrowdStrike 和 Kandji 尋求評論,如有任何說明將更新本文。
更新:CrowdStrike 發(fā)言人告訴 SecurityWeek:“該技術(shù)利用了 macOS 的一個問題,我們已為 Falcon 傳感器提供了檢測和預(yù)防措施。”
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
