macOS: una nuova vulnerabilità permette di disattivare gli strumenti di sicurezza senza privilegi amministrativi
Se possiedi un Mac, è fondamentale sapere che la sicurezza del tuo dispositivo non è assoluta. Recentemente, i ricercatori hanno scoperto una nuova vulnerabilità che consente a utenti con privilegi standard di disattivare completamente strumenti di sicurezza avanzati come quelli di rilevamento delle intrusioni (EDR) e di gestione dei dispositivi (MDM), senza bisogno di essere amministratori del sistema. La soluzione immediata per limitare i rischi è mantenere sempre aggiornato il sistema operativo macOS e verificare che gli strumenti di sicurezza installati abbiano le ultime patch di protezione, poiché alcuni produttori hanno già rilasciato aggiornamenti correttivi specifici per questa falla.
Molti utenti credono che i computer Apple siano intrinsecamente più sicuri rispetto a quelli con Windows, ma questa scoperta dimostra che anche macOS può essere vulnerabile a exploit critici. La vulnerabilità, identificata con il codice CVE-2026-39118, sfrutta un meccanismo di fiducia del sistema operativo che permette a un attaccante di impersonare componenti di applicazioni legittime. Questo significa che, teoricamente, un utente malintenzionato potrebbe neutralizzare la protezione del tuo Mac, rendendo inutili gli allarmi di sicurezza e lasciando il dispositivo esposto a minacce esterne, come malware o ransomware.
La cosa più preoccupante è che questo attacco non richiede l’uso di privilegi elevati né tecniche complesse di exploit del kernel. Gli attaccanti possono semplicemente sfruttare come il sistema macOS gestisce e memorizza le informazioni di fiducia delle applicazioni. Una volta che il sistema ha memorizzato l’identità di un’applicazione sicura, continua a considerarla sicura anche se i suoi componenti vengono modificati o sostituiti da codice malevolo. Questo permette a un utente standard di iniettare codice dannoso in file di configurazione di applicazioni fidate e eseguire comandi privilegiati che dovrebbero essere riservati solo al software firmato dai produttori originali.
I ricercatori hanno dimostrato che questa tecnica può essere utilizzata per disattivare permanentemente strumenti di sicurezza popolari come CrowdStrike Falcon, un leader nel settore del rilevamento delle intrusioni, e Kandji, una soluzione ampiamente utilizzata per la gestione dei dispositivi Mac nelle aziende. In un test, gli esperti hanno riusciti a smantellare completamente il sensore di sicurezza di CrowdStrike, eliminando tutte le sue capacità di monitoraggio delle attività, visibilità della rete e protezione del sistema. Allo stesso modo, hanno neutralizzato Kandji MDM, rendendo il dispositivo gestito completamente privo di protezione centralizzata.
Nonostante l’impatto potenziale, non tutti i dispositivi Mac sono vulnerabili. La falla colpisce solo le applicazioni che utilizzano un meccanismo di comunicazione specifico chiamato XPC (Cross-Process Communication) per interagire tra i loro componenti. Questo include una vasta parte del ecosistema macOS, in particolare le applicazioni enterprise che offrono servizi privilegiati per eseguire operazioni di sistema. Gli sviluppatori che utilizzano XPC devono revisionare e rafforzare la logica di validazione delle loro applicazioni per evitare che possano essere sfruttate attraverso questa vulnerabilità.
I produttori coinvolti hanno già reagito rapidamente. Iru Inc., l’azienda che develop Kandji, ha rilasciato una versione aggiornata dell’agente Kandji che protegge i sistemi macOS da questo exploit. CrowdStrike, dopo essere stata informata della vulnerabilità, ha corretto rapidamente il problema, ha pagato un premio per la segnalazione e ha aggiunto funzionalità di rilevamento e prevenzione per tutte le versioni supportate del suo sensore macOS. Tuttavia, la società XM Cyber, che ha scoperto la vulnerabilità, ha segnalato che Apple non intende correggere la falla nel sistema operativo stesso, lasciando agli produttori di software la responsabilità di implementare le proprie misure di mitigazione.
Per gli utenti finali, la raccomandazione principale è di non disabilitare gli aggiornamenti automatici del sistema e di installare immediatamente le patch di sicurezza rilasciate dai produttori dei software di sicurezza utilizzati. Inoltre, è consigliabile attivare funzionalità di sicurezza nativa come FileVault per la crittografia dei dati, Gatekeeper per il controllo delle applicazioni e XProtect per la scansione antivirus automatica, che costituiscono una base solida per la protezione degli endpoint Mac.
Technical Deep Dive
La vulnerabilità CVE-2026-39118 si basa su un errore fondamentale nel meccanismo di gestione e caching del CDHash (Cryptographic CDHash) in macOS. Il CDHash è un identificatore crittografico che il sistema operativo utilizza per verificare l’autenticità di un’applicazione. Quando un’applicazione viene eseguita, macOS calcola il suo hash e lo memorizza nella cache per migliorare le prestazioni. Il problema critico è che macOS continua a considerare sicura un’applicazione anche se i suoi componenti vengono modificati dopo che l’hash è stato memorizzato nella cache.
Questo meccanismo di caching permette a un utente con privilegi standard di impersonare componenti di applicazioni legittime e chiamare servizi XPC privilegiati che dovrebbero essere accessibili solo al codice firmato dai produttori. I ricercatori hanno dimostrato che un attaccante può iniettare codice malevolo in un file NIB (NIB file) contenuto in un’applicazione fidata e ingannare il sistema per eseguire comandi privilegiati, come l’installazione di estensioni di sistema, l’accesso a telemetria di livello kernel o la disattivazione di componenti di sicurezza.
La tecnica di exploit, denominata CDHash cache exploitation + NIB injection, rappresenta un attacco primitivo generico applicabile a qualsiasi applicazione macOS che espone servizi XPC privilegiati e include un componente utente con file NIB iniettabili. Questo significa che la vulnerabilità non è limitata a specifici prodotti, ma può potenzialmente influenzare migliaia di applicazioni nell’ecosistema macOS che utilizzano XPC per la comunicazione tra processi.
XM Cyber ha sviluppato un tool di ricerca open source chiamato XPC Hunter, basato su un modello linguistico grande (LLM), per aiutare i ricercatori di sicurezza a identificare e validare vulnerabilità di escalation dei privilegi XPC in altre applicazioni macOS. Il tool è progettato esclusivamente per scopi di proof-of-concept e ricerca, permettendo ai ricercatori di identificare, validare e dimostrare la vulnerabilità nei loro ambienti e con applicazioni di cui possiedono l’autorizzazione di test.
I ricercatori hanno notato che la vulnerabilità è intrinseca al sistema operativo macOS e che le applicazioni che utilizzano la funzionalità XPC fornita da Apple sono vulnerabili attraverso questo vettore di attacco. Senza una correzione fondamentale da parte di Apple nel sistema operativo, i produttori di software devono implementare le proprie misure di mitigazione e rafforzamento, come il miglioramento della logica di validazione, l’uso di firme digitali più robuste e l’implementazione di controlli di integrità per evitare che i file NIB possano essere modificati.
La scoperta di questa vulnerabilità sottolinea limportanza di non considerare macOS come un sistema intrinsecamente sicuro e di adottare un approccio di sicurezza multilivello che include aggiornamenti regolari del software, formazione dei dipendenti, password complesse e l’uso di strumenti di sicurezza di terze parti come soluzioni antivirus ed EDR. Le funzionalità integrate come FileVault, Gatekeeper e XProtect, se abilitate, possono costituire una base molto solida per la sicurezza degli endpoint Mac, ma non sono sufficienti per proteggere da exploit avanzati come questo.
