đ Contexte PubliĂ© le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article prĂ©sente une nouvelle technique dâescalade de privilĂšges macOS permettant Ă un compte utilisateur standard de dĂ©sactiver des solutions de sĂ©curitĂ© dâentreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans dĂ©clencher dâalertes.
âïž MĂ©canisme technique Lâattaque repose sur une chaĂźne dâexploitation en plusieurs Ă©tapes :
Exploitation du cache CDHash noyau : un binaire signĂ© lĂ©gitime est lancĂ© pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiĂ©e pour injecter un payload NIB (Interface Builder) malveillant. HĂ©ritage du contexte de confiance : le code malveillant sâexĂ©cute dans lâespace mĂ©moire du composant signĂ© lĂ©gitime, hĂ©ritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilĂ©giĂ©s sans authentification. Bridge Objective-C via JXA : pour contourner les limitations dâAppleScript, un bridge multi-Ă©tapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accĂšs au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. MĂ©thodes XPC exposĂ©es exploitĂ©es : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: đŻ Produits impactĂ©s CrowdStrike Falcon Sensor : dĂ©chargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilitĂ© rĂ©seau. â DĂ©tection et prĂ©vention ajoutĂ©es, bounty payĂ©. Kandji MDM Agent : dĂ©sactivation permanente via une chaĂźne XPC en deux phases, suppression des gardes EDR et terminaison de lâextension Endpoint Security Framework (ESF). â CVE-2026-39118 assignĂ©, bounty payĂ©, correctif dĂ©ployĂ©. đ ïž Outil associĂ© Le chercheur a dĂ©veloppĂ© XPC Hunter, un framework open-source automatisĂ© de dĂ©couverte des surfaces dâescalade de privilĂšges XPC sur toutes les applications macOS installĂ©es. Sa prĂ©sentation est prĂ©vue Ă Black Hat US en aoĂ»t 2026.
...