科技媒体报道,安全公司 XM Cyber 披露通过滥用特权 XPC 调用的新型 macOS 提权技术(将于 Black Hat Arsenal 展示开源工具 XPC Hunter),可在无需管理员权限、内核漏洞或绕过 SIP 的情况下禁用部分企业安全与管理工具。研究人员演示从标准用户账户卸载 CrowdStrike Falcon、关闭 Kandji 卸载保护并停用其防护功能(Kandji 已修复并记为 CVE-2026-39118);攻击起点为利用已被 macOS 缓存信任指纹的合法签名应用注入恶意载荷。苹果尚未就此发布安全公告。
6 月 25 日消息,科技媒体 AppleInsider 昨日(6 月 24 日)发布博文,报道称安全公司 XM Cyber 披露新型 macOS 攻击技术,可以提权禁用部分企业安全工具。
该公司计划今年 8 月参加 Black Hat Arsenal 活动,届时将展示名为 XPC Hunter 的开源工具,不过在公开之前,研究人员已通知相关厂商。
XM Cyber 指出攻击者拿到目标 Mac 的标准用户账户后,可以无需管理员权限、内核漏洞或绕过系统完整性保护(SIP)等,借助特权 XPC 调用,实现禁用部分企业安全与管理工具操作。
根据披露内容,研究人员通过滥用特权 XPC 方法,从标准用户账户卸载了 CrowdStrike Falcon 安全传感器;同时又借助另一组特权 XPC 调用链,关闭了 Kandji 的卸载保护,并停用其终端防护功能。
上述演示不需要内核漏洞,也不需要绕过系统完整性保护。Kandji 此后已修复被报告的问题,并在公开漏洞数据库中登记为 CVE-2026-39118。苹果目前尚未发布与这项研究相关的安全公告,也未独立验证 XM Cyber 的结论。
IT之家注:XPC 是苹果用于应用与后台服务通信的框架,常用于让应用请求管理权限相关操作,同时把高权限功能与前台软件分离。
研究人员称,攻击起点是用户先启动一个合法签名应用,macOS 随后缓存其信任指纹。保留这层信任关系清下,攻击者接着可修改该应用包中的部分内容并植入恶意载荷。
