🔍 Contexte

Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une nouvelle technique d’escalade de privilèges macOS permettant à un compte utilisateur standard de désactiver des solutions de sécurité d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d’alertes.

⚙️ Mécanisme technique

L’attaque repose sur une chaîne d’exploitation en plusieurs étapes :

  • Exploitation du cache CDHash noyau : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload NIB (Interface Builder) malveillant.
  • Héritage du contexte de confiance : le code malveillant s’exécute dans l’espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification.
  • Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-étapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accès au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout.
  • Méthodes XPC exposées exploitées : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply:

🎯 Produits impactés

  • CrowdStrike Falcon Sensor : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé.
  • Kandji MDM Agent : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assigné, bounty payé, correctif déployé.

🛠️ Outil associé

Le chercheur a développé XPC Hunter, un framework open-source automatisé de découverte des surfaces d’escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à Black Hat US en août 2026.

📋 Type d’article

Il s’agit d’une publication de recherche technique à visée CTI, documentant une classe de vulnérabilité systémique macOS, ses impacts validés sur des produits commerciaux, et les primitives d’exploitation sous-jacentes.

🧠 TTPs et IOCs détectés

TTP

  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1574 — Hijack Execution Flow (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1106 — Native API (Execution)

IOC

  • CVEs : CVE-2026-39118NVD · CIRCL

Malware / Outils

  • XPC Hunter (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ xmcyber.com — source non référencée (0pts)
  • ✅ 8760 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://xmcyber.com/blog/faind-my-xpc-breaks-a-key-trust-boundary/