Uma vulnerabilidade crítica descoberta recentemente no sistema operacional macOS permite que usuários comuns desativem softwares de proteção corporativa sem a necessidade de credenciais de administrador. O método, identificado por pesquisadores, opera de forma silenciosa e não exige a exploração de falhas complexas no núcleo do sistema, tornando-se uma ameaça significativa para ambientes empresariais que dependem de ferramentas de monitoramento e segurança.
A descoberta foi realizada pela empresa de segurança XM Cyber e afeta diversos produtos amplamente utilizados para detecção de ameaças e gerenciamento de dispositivos. A ausência de rastros perceptíveis durante a execução do ataque eleva a preocupação de especialistas, uma vez que o procedimento abusa de comportamentos legítimos do próprio sistema operacional.
Mecanismo de comunicação XPC e a falha de confiança
Para compreender a origem do problema, é preciso analisar como o macOS gerencia seus aplicativos. Muitos programas são divididos em duas partes: uma interface visível ao usuário e um processo em segundo plano que opera com privilégios elevados. A comunicação entre esses componentes ocorre por meio de um mecanismo interno chamado XPC.
O sistema confia nas mensagens trocadas entre esses componentes desde que a assinatura digital seja validada. Contudo, o macOS armazena essa verificação em um cache temporário. A falha reside no fato de que, após a confirmação inicial da assinatura de um aplicativo legítimo, o sistema não reavalia a confiança imediatamente, criando uma janela de oportunidade para a exploração.
Execução do ataque em contas comuns
O ataque não requer privilégios especiais, bastando o acesso a uma conta comum no dispositivo. O invasor inicia um aplicativo legítimo e assinado, forçando o sistema a registrar o processo como confiável. Em seguida, a estrutura interna do software é modificada para a injeção de um arquivo de interface malicioso, conhecido como NIB.
Uma vez modificado, o processo passa a operar dentro do contexto de confiança do aplicativo original. Isso permite a comunicação direta com o processo privilegiado em segundo plano, sem exigir autenticação adicional. O código malicioso pode, então, acionar funções sensíveis de softwares de segurança, como o encerramento de agentes de monitoramento ou a desativação de extensões do sistema.
Impacto nos produtos e respostas dos fabricantes
Pesquisadores validaram a técnica contra ferramentas reais, incluindo o Falcon, da CrowdStrike, e soluções da Kandji. Em testes, foi possível descarregar completamente agentes de segurança, interrompendo a visibilidade de rede e a detecção de ameaças. A CrowdStrike confirmou a falha, recompensou os pesquisadores e implementou proteções adicionais em suas versões para macOS.
A Kandji também corrigiu o problema em seus sistemas, que recebeu o identificador CVE-2026-39118. Como a técnica não instala arquivos suspeitos nem utiliza exploração de memória, ela evita gatilhos de segurança tradicionais, tornando-se um risco latente em cenários de ameaça interna.
Soluções e ferramentas de mitigação
A correção para essa vulnerabilidade já está disponível e é considerada simples pelos especialistas. Desenvolvedores podem implementar a verificação da identidade real dos componentes durante o início da conexão XPC, em vez de depender exclusivamente do cache de assinaturas do macOS.
Para auxiliar na identificação de riscos, a XM Cyber desenvolveu o XPC Hunter, uma ferramenta de código aberto que varre aplicativos instalados em busca de interfaces vulneráveis. A recomendação é que administradores de sistemas mantenham seus softwares atualizados e monitorem a integridade das aplicações corporativas em seus parques tecnológicos.
