macOS Kullanıcıları Dikkat: Bu Güvenlik Açığı Can Yakar

Güvenlik firması XM Cyber, standart kullanıcı hesaplarının yönetici yetkilerine gereksinim duymadan birtakım kurumsal güvenlik araçlarını devre dışı bırakmasına imkan tanıyan bir macOS tekniği keşfetti. Araştırmacılar, bulgularını Ağustos ayında düzenlenecek Black Sınır Arsenal sunumu öncesinde paylaştı ve XPC Hunter ismini verdikleri açık kaynaklı bir aracı tanıtmaya hazırlanıyor.

Haberi okuduğunuz için teşekkürler, bizi takip etmeyi unutmayın!

XM Cyber, macOS üzerinde CrowdStrike Falcon ve Kandji üzere güvenlik tahlillerine karşı başarılı ataklar gerçekleştirdiğini bildirdi. Kelam konusu teknik uzaktan bir akın prosedürü değil, saldırganların öncelikle amaç Mac üzerinde standart bir kullanıcı hesabına erişim sağlaması gerekiyor.

Mevcut bir hesaba erişim gerekliliği akının kapsamını sınırlasa da, bu durum araştırmanın değerini azaltmıyor. Bir Mac aygıtına erişim sağlayan saldırganlar, sisteme daha derinlemesine sızmadan evvel ekseriyetle izleme araçlarını etkisiz hale getirmeye çalışıyor.

Güvenilir macOS irtibat kanalları hedefte

XM Cyber, CrowdStrike Falcon güvenlik sensörünü standart bir kullanıcı hesabından ayrıcalıklı bir XPC formülünü berbata kullanarak kaldırdı. Ayrıyeten araştırmacılar, Kandji’nin kaldırma müdafaalarını devre dışı bıraktı ve uç nokta muhafaza özelliklerini ayrıcalıklı XPC davet zincirleri aracılığıyla kapattı.

Bu gösterimlerin hiçbiri çekirdek istismarı yahut Sistem Bütünlüğü Muhafazası atlatması gerektirmedi. Kandji, bildirilen güvenlik açığını düzeltti ve kamuya açık bilinen bilgisayar açıkları veritabanında CVE-2026-39118 kodunu atadı.

XPC, uygulamalar ve arka plan servisleri arasında irtibat kurmak için kullanılan bir Apple çerçevesidir. Geliştiriciler, ayrıcalıklı fonksiyonları kullanıcıya yönelik yazılımlardan farklı tutarken yönetici hareketleri talep etmek için XPC’den yararlanıyor.

XM Cyber, kimi geliştiricilerin hangi yazılımın hassas XPC sistemlerini çağırabileceğine karar verirken kod imzalama itimadına fazla güvendiğini savunuyor. Araştırmacılar, bu tekniğin uygulamaların ayrıcalıklı servislere gönderilen istekleri nasıl doğruladığını hedeflediğini belirtiyor.

Saldırı, bir kullanıcı yasal ve imzalı bir uygulamayı başlattığında macOS’in inanç parmak izini önbelleğe almasıyla başlıyor. Araştırmacılar, bir saldırganın uygulama paketinin kimi kısımlarını berbat gayeli bir yük ile değiştirirken bu itimat münasebetini koruyabildiğini sav ediyor.

Önbelleğe alınan inanç bağı, standart bir kullanıcı hesabının olağanda muteber yazılım bileşenlerine ayrılmış ayrıcalıklı XPC metotlarını çağırmasına müsaade verebiliyor. XM Cyber, sorunun direkt macOS güvenlik müdafaalarının atlatılmasından çok birtakım uygulamaların itimadı kurma biçiminden kaynaklandığını savunuyor.

Kurumsal Mac dağıtımları için güvenlik önlemleri

CrowdStrike Falcon, Kandji ve gibisi eserler, kuruluşların aygıtları izlemesine, güvenlik siyasetlerini uygulamasına ve tehditlere cevap vermesine yardımcı oluyor. Bu bulgular, Mac aygıtlarının kurumsal ortamlarda giderek daha fazla tercih edildiği bir periyotta ortaya çıkıyor.

Güvenlik yazılımları ve idare casusları, ekseriyetle ele geçirilmiş bir kullanıcı hesabı ile şirket bilgilerine erişim arasında duran sistemlerdir. Yönetici kimlik bilgilerinin eksikliği, bu araştırmayı dikkat cazip kılan temel ögelerden biridir.

Kandji’nin CVE ataması, en az bir satıcının bu teknikle belirlenen muhakkak bir güvenlik açığını kabul edip düzelttiği için araştırmaya ek tartı kazandırıyor. Satıcılar daha geniş kapsamlı bulguları araştırmaya devam ederken, Apple şimdi hususla ilgili kendi güvenlik müşavere dokümanını yayınlamadı.

XM Cyber, 5 Ağustos’ta Las Vegas’taki Black Çizgi Arsenal etkinliğinde XPC Hunter aracını yayınlamayı planlıyor. Araştırmacılar burada aracı gösterecek ve macOS XPC hücum tekniğini daha detaylı bir biçimde tartışacaklar.

XM Cyber’ın araştırması, saldırganların bu tekniği kullanabilmesi için mevcut bir kullanıcı hesabına erişim sağlamasını gerektiriyor. Güçlü parolalar ve çok faktörlü kimlik doğrulama, bir saldırganın birinci adımı atma bahtını azaltabiliyor.

Mac kullanıcıları, satıcılar bulguları araştırıp düzeltmeleri yayınlarken güvenlik yazılımlarını, aygıt idare araçlarını ve macOS’in kendisini şimdiki tutmalıdır. Büyük Mac dağıtımlarını yöneten kuruluşlar, ek hafifletmeler ve güvenlik güncellemeleri için satıcı rehberlerini gözden geçirmelidir.

Bu güvenlik açığı hakkında siz ne düşünüyorsunuz?