Güvenlik firması XM Cyber, standart kullanıcı hesaplarının yönetici yetkilerine gereksinim duymadan birtakım kurumsal güvenlik araçlarını devre dışı bırakmasına imkan tanıyan bir macOS tekniği keşfetti. Araştırmacılar, bulgularını Ağustos ayında düzenlenecek Black Çizgi Arsenal sunumu öncesinde paylaştı ve XPC Hunter ismini verdikleri açık kaynaklı bir aracı tanıtmaya hazırlanıyor.

XM Cyber, macOS üzerinde CrowdStrike Falcon ve Kandji üzere güvenlik tahlillerine karşı başarılı akınlar gerçekleştirdiğini bildirdi. Kelam konusu teknik uzaktan bir atak tekniği değil, saldırganların öncelikle gaye Mac üzerinde standart bir kullanıcı hesabına erişim sağlaması gerekiyor.

Mevcut bir hesaba erişim gerekliliği taarruzun kapsamını sınırlasa da, bu durum araştırmanın ehemmiyetini azaltmıyor. Bir Mac aygıtına erişim sağlayan saldırganlar, sisteme daha derinlemesine sızmadan evvel çoklukla izleme araçlarını etkisiz hale getirmeye çalışıyor.

Güvenilir macOS bağlantı kanalları hedefte

XM Cyber, CrowdStrike Falcon güvenlik sensörünü standart bir kullanıcı hesabından ayrıcalıklı bir XPC tekniğini berbata kullanarak kaldırdı. Ayrıyeten araştırmacılar, Kandji’nin kaldırma müdafaalarını devre dışı bıraktı ve uç nokta müdafaa özelliklerini ayrıcalıklı XPC davet zincirleri aracılığıyla kapattı.

Bu gösterimlerin hiçbiri çekirdek istismarı yahut Sistem Bütünlüğü Müdafaası atlatması gerektirmedi. Kandji, bildirilen güvenlik açığını düzeltti ve kamuya açık bilinen bilgisayar açıkları veritabanında CVE-2026-39118 kodunu atadı.

XPC, uygulamalar ve arka plan servisleri arasında bağlantı kurmak için kullanılan bir Apple çerçevesidir. Geliştiriciler, ayrıcalıklı fonksiyonları kullanıcıya yönelik yazılımlardan farklı tutarken yönetici aksiyonları talep etmek için XPC’den yararlanıyor.

XM Cyber, birtakım geliştiricilerin hangi yazılımın hassas XPC yollarını çağırabileceğine karar verirken kod imzalama itimadına fazla güvendiğini savunuyor. Araştırmacılar, bu tekniğin uygulamaların ayrıcalıklı servislere gönderilen istekleri nasıl doğruladığını hedeflediğini belirtiyor.

Saldırı, bir kullanıcı yasal ve imzalı bir uygulamayı başlattığında macOS’in inanç parmak izini önbelleğe almasıyla başlıyor. Araştırmacılar, bir saldırganın uygulama paketinin birtakım kısımlarını berbat maksatlı bir yük ile değiştirirken bu itimat bağını koruyabildiğini argüman ediyor.

Önbelleğe alınan inanç alakası, standart bir kullanıcı hesabının olağanda muteber yazılım bileşenlerine ayrılmış ayrıcalıklı XPC formüllerini çağırmasına müsaade verebiliyor. XM Cyber, sorunun direkt macOS güvenlik müdafaalarının atlatılmasından fazla birtakım uygulamaların itimadı kurma biçiminden kaynaklandığını savunuyor.

Kurumsal Mac dağıtımları için güvenlik önlemleri

CrowdStrike Falcon, Kandji ve gibisi eserler, kuruluşların aygıtları izlemesine, güvenlik siyasetlerini uygulamasına ve tehditlere cevap vermesine yardımcı oluyor. Bu bulgular, Mac aygıtlarının kurumsal ortamlarda giderek daha fazla tercih edildiği bir periyotta ortaya çıkıyor.

Güvenlik yazılımları ve idare casusları, ekseriyetle ele geçirilmiş bir kullanıcı hesabı ile şirket bilgilerine erişim arasında duran sistemlerdir. Yönetici kimlik bilgilerinin eksikliği, bu araştırmayı dikkat alımlı kılan temel ögelerden biridir.

Kandji’nin CVE ataması, en az bir satıcının bu teknikle belirlenen makul bir güvenlik açığını kabul edip düzelttiği için araştırmaya ek tartı kazandırıyor. Satıcılar daha geniş kapsamlı bulguları araştırmaya devam ederken, Apple şimdi hususla ilgili kendi güvenlik müracaat dokümanını yayınlamadı.

XM Cyber, 5 Ağustos’ta Las Vegas’taki Black Sınır Arsenal etkinliğinde XPC Hunter aracını yayınlamayı planlıyor. Araştırmacılar burada aracı gösterecek ve macOS XPC taarruz tekniğini daha detaylı bir biçimde tartışacaklar.

XM Cyber’ın araştırması, saldırganların bu tekniği kullanabilmesi için mevcut bir kullanıcı hesabına erişim sağlamasını gerektiriyor. Güçlü parolalar ve çok faktörlü kimlik doğrulama, bir saldırganın birinci adımı atma talihini azaltabiliyor.

Mac kullanıcıları, satıcılar bulguları araştırıp düzeltmeleri yayınlarken güvenlik yazılımlarını, aygıt idare araçlarını ve macOS’in kendisini aktüel tutmalıdır. Büyük Mac dağıtımlarını yöneten kuruluşlar, ek hafifletmeler ve güvenlik güncellemeleri için satıcı rehberlerini gözden geçirmelidir.

Bu güvenlik açığı hakkında siz ne düşünüyorsunuz?

Kaynak: Shiftdelete