https://cyberveille.ch/tags/xpc/ Recent content in XPC on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 30 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-30-macos-escalade-de-privileges-via-exploitation-du-cache-cdhash-xpc-et-injection-nib/ Tue, 30 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-30-macos-escalade-de-privileges-via-exploitation-du-cache-cdhash-xpc-et-injection-nib/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une <strong>nouvelle technique d&rsquo;escalade de privilèges macOS</strong> permettant à un compte utilisateur standard de désactiver des solutions de sécurité d&rsquo;entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d&rsquo;alertes.</p> <h2 id="-mécanisme-technique">⚙️ Mécanisme technique</h2> <p>L&rsquo;attaque repose sur une chaîne d&rsquo;exploitation en plusieurs étapes :</p> <ul> <li><strong>Exploitation du cache CDHash noyau</strong> : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload <strong>NIB (Interface Builder) malveillant</strong>.</li> <li><strong>Héritage du contexte de confiance</strong> : le code malveillant s&rsquo;exécute dans l&rsquo;espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification.</li> <li><strong>Bridge Objective-C via JXA</strong> : pour contourner les limitations d&rsquo;AppleScript, un bridge multi-étapes est construit : chargement de <code>OSAKit.framework</code>, transition vers <strong>JavaScript for Automation (JXA)</strong>, accès au bridge Objective-C, manipulation de <code>malloc/free</code>, <code>dispatch_block_create</code>, <code>objc_msgSend</code>, et spoofing de structures <code>Block_layout</code>.</li> <li><strong>Méthodes XPC exposées exploitées</strong> : <code>runProcessWithCommand:</code>, <code>terminateAppsAndAgents:</code>, <code>ceaseSystemExtensionWithReply:</code></li> </ul> <h2 id="-produits-impactés">🎯 Produits impactés</h2> <ul> <li><strong>CrowdStrike Falcon Sensor</strong> : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé.</li> <li><strong>Kandji MDM Agent</strong> : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l&rsquo;extension <strong>Endpoint Security Framework (ESF)</strong>. → <strong>CVE-2026-39118</strong> assigné, bounty payé, correctif déployé.</li> </ul> <h2 id="-outil-associé">🛠️ Outil associé</h2> <p>Le chercheur a développé <strong>XPC Hunter</strong>, un framework open-source automatisé de découverte des surfaces d&rsquo;escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à <strong>Black Hat US en août 2026</strong>.</p>