Immagina che il tuo computer, che dovrebbe essere il tuo scudo più sicuro contro le minacce digitali, possa essere spinto a abbassare le proprie difese da chiunque lo utilizzi, senza che nessuno debba avere le chiavi del maestro o conoscenze tecniche speciali. Questo è esattamente ciò che sta accadendo con una nuova vulnerabilità scoperta nel sistema operativo macOS di Apple. La situazione è grave, ma la soluzione è chiara: gli utenti devono aggiornare immediatamente i software di sicurezza e le applicazioni di gestione che utilizzano, poiché gli sviluppatori responsabili stanno già implementando contromisure per proteggere i loro sistemi. Non è necessario essere esperti di informatica per capire che la sicurezza del tuo dispositivo è ora più fragile e che l’azione immediata è la chiave per neutralizzare il rischio.
Recentemente, ricercatori del settore hanno identificato una tecnica innovativa di escalation dei privilegi su macOS che permette a un utente con privilegi standard di disattivare strumenti di sicurezza aziendale e di invocare funzioni riservate, tutto senza la necessità di credenziali amministratore. Questo non è un semplice errore di configurazione, ma un problema intrinseco di come macOS gestisce e valida le informazioni di fiducia delle applicazioni. La vulnerabilità sfrutta il meccanismo che il sistema operativo utilizza per stabilire se un’applicazione è affidabile, permettendo a un attaccante di impersonare componenti di applicazioni fidate e di eseguire azioni silenziosamente che dovrebbero essere accessibili solo a processi privilegiati.
Il punto critico riguarda la disattivazione di sistemi di rilevamento e risposta (EDR) e di gestione dei dispositivi mobili (MDM). I ricercatori di XM Cyber, che hanno sviluppato questa tecnica, hanno dimostrato come un attaccante possa utilizzare questa vulnerabilità per disabilitare CrowdStrike Falcon Endpoint Detection and Response e Kandji Mobile Device Management senza alcuna credenziale amministratore, senza exploit del kernel e senza generare alcun avviso di sicurezza. Secondo XM Cyber, il problema potrebbe potenzialmente influenzare altre applicazioni macOS che offrono servizi di comunicazione inter-processo (XPC) privilegiati e che si affidano a CDHash di Apple, un identificatore crittografico per verificare l’autenticità di un’applicazione. Come ha spiegato Hillel Pinto, ricercatore senior di sicurezza di XM Cyber, le applicazioni macOS espongono regolarmente servizi XPC privilegiati che vengono eseguiti come root, ma i confini di fiducia che proteggono queste interfacce sono fondamentalmente flawed.
XM Cyber ha sviluppato un tool open source basato su un modello linguistico di grandi dimensioni (LLM) chiamato XPC Hunter, per aiutare i ricercatori di sicurezza a identificare vulnerabilità di escalation dei privilegi XPC su macOS in altre applicazioni. L’azienda prevede di rilasciare XPC Hunter alla conferenza Black Hat USA in agosto. I servizi XPC di macOS permettono a diverse applicazioni o processi di comunicare in modo sicuro. Strumenti di sicurezza, agenti MDM, utility di sistema e molte altre applicazioni macOS utilizzano i servizi XPC per richiedere operazioni privilegiate da processi di root di background per compiti come l’installazione di estensioni del sistema, l’accesso alla telemetria a livello di kernel o il rilascio di componenti di sicurezza. Dark Reading ha contattato Apple, ma non ha ricevuto alcuna risposta al momento della stampa.
Il problema principale, secondo XM Cyber, riguarda come macOS gestisce la cache e riutilizza il CDHash di un’applicazione o l’impronta crittografica che il sistema operativo utilizza per verificare l’autenticità di un’applicazione. XM Cyber ha scoperto che, una volta che macOS metta in cache il CDHash, il sistema operativo continua a fidarsi dell’applicazione anche se un attaccante modifica successivamente alcuni dei suoi componenti. Questo permette a un utente standard di impersonare componenti di applicazioni legittime e di chiamare servizi XPC privilegiati che dovrebbero essere accessibili solo a codice vendor firmato correttamente. XM Cyber ha dimostrato come un attaccante possa sfruttare questa debolezza per inserire codice maligno in un file NIB chiamato dentro un’applicazione fidata e ingannare il sistema per eseguire comandi privilegiati.
XM Cyber ha utilizzato la tecnica per “completamente disattivare il sensore di sicurezza endpoint CrowdStrike Falcon” e neutralizzare efficacemente tutte le sue capacità di rilevamento endpoint, visibilità di rete e monitoraggio dei processi su un sistema macOS. L’azienda è riuscita a disattivare permanentemente anche Kandji MDM. Oltre a questi due prodotti specifici, la tecnica di sfruttamento della cache CDHash + iniezione NIB rappresenta un primitivo di attacco generico applicabile a qualsiasi applicazione macOS che esporta servizi XPC privilegiati e include un componente di app con iniezione NIB. Iru Inc. ha rilasciato una versione aggiornata del suo software Kandji Agent che protegge dallo exploit sui sistemi macOS dopo che XM Cyber ha informato l’azienda della vulnerabilità. XM Cyber ha anche segnalato la vulnerabilità a CrowdStrike, ma non è chiaro se quest’ultima abbia rilasciato una patch. La divulgazione è in corso con il team di sicurezza di CrowdStrike.
Pinto, in commenti a Dark Reading, descrive il problema come un difetto in macOS stesso che influenza le applicazioni che si affidano alla funzionalità XPC fornita da Apple. Se Apple avesse risolto il problema sottostante in macOS, questi prodotti non sarebbero vulnerabili attraverso questo vettore di attacco. Tuttavia, Apple ha dichiarato che non intende risolvere il bug. Conseguentemente, i fornitori interessati devono implementare le proprie mitigazioni e misure di rafforzamento. Kandji, ad esempio, ha fatto un ottimo lavoro affrontando il problema. Pinto sottolinea che non tutte le applicazioni macOS sono vulnerabili. Il problema influenza le applicazioni che implementano la comunicazione XPC tra i loro componenti, che, in pratica, include una grande parte dell’ecosistema macOS. Gli sviluppatori che utilizzano XPC dovrebbero revisionare e rafforzare la logica di validazione per garantire che le loro applicazioni non possano essere sfruttate attraverso la vulnerabilità. XPC Hunter è esclusivamente un tool di ricerca per aiutare i ricercatori di sicurezza a identificare, validare e dimostrare la vulnerabilità nei loro ambienti e con applicazioni che possiedono o sono autorizzati a testare. Le capacità di sfruttamento sono fornite esclusivamente per scopi di prova del concetto e di ricerca.
Technical Deep Dive
Per gli utenti tecnici e gli esperti di sicurezza, è fondamentale comprendere i dettagli architetturali che rendono possibile questo exploit. La vulnerabilità si basa su un meccanismo di gestione della cache del CDHash (Cryptographic Document Hash) che è intrinseco al sistema operativo macOS. Quando un’applicazione viene eseguita, macOS calcola il CDHash, che è un’impronta digitale crittografica basata sui componenti binari dell’applicazione. Questo hash viene utilizzato per verificare l’autenticità e l’integrità del software. Tuttavia, il sistema operativo archivia questo hash in una cache interna. La vulnerabilità emerge quando un utente con privilegi standard può modificare i componenti dell’applicazione dopo che il CDHash è già stato messo in cache, ma il sistema operativo continua a considerare l’applicazione come affidabile perché si fida della versione cache dell’hash.
Questo permette un attacco di impersonazione in cui un utente standard può sostituire componenti di un’applicazione fidata con codice maligno, ma il sistema operativo, fidando della cache del CDHash, non rileva la modifica. L’attaccante può quindi sfruttare i servizi XPC (Cross-Process Communication) che sono esposti come privilegiati e eseguiti come root. I servizi XPC sono progettati per permettere la comunicazione sicura tra processi, ma quando sono esposti con privilegi di root, diventano un punto di ingresso critico per l’escalation dei privilegi. L’iniezione di un file NIB (Neural Interface Bundle) o di un resource file simile in un’applicazione fidata permette all’attaccante di ingannare il sistema per eseguire comandi privilegiati che dovrebbero essere accessibili solo a codice firmato correttamente.
La vulnerabilità è classificata come CVE-2026-39118 e colpisce le applicazioni che utilizzano la comunicazione XPC tra i loro componenti. Questo include una vasta parte dell’ecosistema macOS, poiché molte applicazioni di sicurezza, agenti MDM e utility di sistema utilizzano XPC per richiedere operazioni privilegiate. La soluzione tecnica richiede che gli sviluppatori implementano una logica di validazione più rigorosa che non si fida solo della cache del CDHash, ma verifica l’integrità corrente dei componenti dell’applicazione. Inoltre, è necessario limitare l’esposizione dei servizi XPC privilegiati e garantire che i confini di fiducia siano implementati correttamente per prevenire l’impersonazione di componenti fidati. Il tool XPC Hunter, sviluppato da XM Cyber, permette ai ricercatori di sicurezza di identificare e testare queste vulnerabilità in ambienti controllati, fornendo una prova del concetto per l’escalation dei privilegi.
