macOS : escalade de privilèges via exploitation du cache CDHash XPC et injection NIB
🔍 Contexte Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une nouvelle technique d’escalade de privilèges macOS permettant à un compte utilisateur standard de désactiver des solutions de sécurité d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d’alertes. ⚙️ Mécanisme technique L’attaque repose sur une chaîne d’exploitation en plusieurs étapes : Exploitation du cache CDHash noyau : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload NIB (Interface Builder) malveillant. Héritage du contexte de confiance : le code malveillant s’exécute dans l’espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification. Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-étapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accès au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. Méthodes XPC exposées exploitées : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: 🎯 Produits impactés CrowdStrike Falcon Sensor : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé. Kandji MDM Agent : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assigné, bounty payé, correctif déployé. 🛠️ Outil associé Le chercheur a développé XPC Hunter, un framework open-source automatisé de découverte des surfaces d’escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à Black Hat US en août 2026. ...