Pesquisadores da XM Cyber revelaram uma técnica que permite a qualquer usuário comum de um Mac desativar silenciosamente softwares de segurança corporativa sem precisar da senha de administrador, explorar o kernel ou deixar rastros óbvios. A vulnerabilidade explora a forma como o macOS gerencia a confiança entre componentes de aplicações e afeta ferramentas amplamente usadas em ambientes empresariais, incluindo produtos de detecção de ameaças e gerenciamento de dispositivos.
Como funciona o mecanismo XPC
No macOS muitos aplicativos são divididos entre uma interface visível ao usuário e processos de segundo plano com privilégios mais altos. Esses componentes comunicam-se por meio do XPC, um canal interno que permite troca de mensagens entre partes do mesmo software. O processo privilegiado aceita requisições quando acredita que elas vêm de um componente assinado corretamente.
O problema detectado pela XM Cyber é que essa verificação de assinatura fica armazenada em cache temporariamente. Após a abertura de um app legítimo cuja assinatura foi validada, o sistema grava essa confiança e não a reavalia de imediato. A janela de tempo criada por esse cache pode ser explorada.
O ataque na prática
Com acesso a uma conta comum no Mac, um atacante abre um aplicativo assinado para que o sistema registre sua assinatura como confiável. Em seguida, altera a estrutura interna do aplicativo para injetar um arquivo de interface (NIB) malicioso. Esse componente modificado passa a operar sob o contexto de confiança do app original e consegue dialogar com o processo privilegiado como se fosse legítimo, sem autenticação extra.
Com essa comunicação, o código malicioso pode acionar funcionalidades internas expostas pelo software de segurança — como desligar extensões do sistema ou encerrar agentes de monitoramento — levando à auto-desativação da proteção.
Produtos afetados e respostas
A técnica foi validada contra produtos reais. No caso do Falcon, da CrowdStrike, os pesquisadores conseguiram descarregar completamente o agente de segurança a partir de uma conta comum, interrompendo detecção de ameaças, monitoramento de processos e visibilidade de rede. A CrowdStrike confirmou a descoberta, pagou recompensa ao pesquisador e incluiu proteções e detecções em todas as versões suportadas do sensor para macOS.
A ferramenta de gerenciamento de dispositivos Kandji também foi afetada; os pesquisadores conseguiram desativar permanentemente o agente em duas etapas, eliminando proteções e encerrando extensões do sistema. A Kandji corrigiu o problema, que recebeu o identificador CVE-2026-39118.
Imagem: Divulgação
A técnica não envolve exploração de memória nem instalação de arquivos suspeitos: ela abusa de um comportamento legítimo do sistema, o que evita assinaturas típicas de ataques e entradas claras em logs de eventos. Por isso é especialmente preocupante em cenários de ameaça interna ou quando há acesso inicial ao dispositivo.
Correção disponível
A XM Cyber informa que o próprio macOS, desde a versão 13, oferece meios para evitar o problema: desenvolvedores podem verificar a identidade real do componente que se conecta via XPC no início da comunicação, em vez de confiar na assinatura em cache. O pesquisador Hillel Pinto criou a ferramenta de código aberto XPC Hunter, que escaneia aplicativos instalados em busca de interfaces XPC vulneráveis; a ferramenta será apresentada na conferência Black Hat US, em agosto.
Com algumas empresas já corrigindo seus produtos, o risco persiste apenas nos aplicativos macOS que mantêm interfaces XPC privilegiadas sem validação adequada.
Com informações de Tecmundo
Gudyê GR6 é editor-chefe e especialista em tendências musicais e entretenimento na GR6, a maior produtora de funk do Brasil. Com anos de experiência no mercado fonográfico, Gudyê lidera a equipe de conteúdo trazendo as últimas notícias sobre música, cultura urbana. Autor do Post: Gudyê GR6
