macOS'te Kurumsal Güvenlik Araçlarını Devre Dışı Bırakan Yeni Bir Açık Keşfedildi
2 dk okumashiftdelete
PAYLAS:
İçeriğe Atla
Siber güvenlik firması XM Cyber, macOS işletim sisteminde standart kullanıcı hesaplarının yönetici yetkilerine ihtiyaç duymadan kritik kurumsal güvenlik araçlarını devre dışı bırakmasına olanak tanıyan yeni bir yöntem keşfetti. XPC çerçevesindeki güven doğrulama süreçlerini hedef alan bu teknik, özellikle kurumsal Mac kullanıcıları için önemli bir risk oluşturuyor.
Araştırmacılara göre bu yeni teknik, uzaktan doğrudan uygulanabilen bir saldırı yöntemi değil. Saldırganların öncelikle hedef Mac cihazında standart bir kullanıcı hesabına erişim sağlaması gerekiyor. Ancak sisteme sızmayı başaran kötü niyetli kişiler, daha derinlemesine ilerlemeden önce CrowdStrike Falcon ve Kandji gibi uç nokta koruma çözümlerini etkisiz hale getirebiliyor.
Bu işlemler sırasında çekirdek (kernel) istismarı veya Sistem Bütünlüğü Koruması'nın (SIP) atlatılması gerekmiyor. XM Cyber, ayrıcalıklı bir XPC yöntemini kötüye kullanarak güvenlik sensörlerini kaldırmayı başardı. Kandji, bildirilen bu siber güvenlik açığını hızla yamayarak duruma CVE-2026-39118 kodunu atadı.
XPC, uygulamalar ve arka plan servisleri arasında iletişim kurmak için kullanılan temel bir Apple çerçevesidir. Geliştiriciler, ayrıcalıklı işlevleri kullanıcıya yönelik yazılımlardan izole etmek için bu yapıyı kullanıyor. Ancak araştırmacılar, bazı uygulamaların hassas XPC yöntemlerini çağırırken kod imzalama güvenine gereğinden fazla bel bağladığını belirtiyor.
Saldırı, meşru ve imzalı bir uygulama başlatıldığında macOS'in güven parmak izini önbelleğe almasıyla tetikleniyor. Saldırganlar, uygulama paketinin belirli bölümlerini kötü amaçlı bir yük ile değiştirirken bu güven ilişkisini koruyabiliyor. Böylece standart bir kullanıcı hesabı, normalde sadece güvenilir yazılımlara ayrılmış ayrıcalıklı XPC komutlarını çalıştırabiliyor.
Kurumsal ortamlarda Mac cihazlarının kullanımının hızla arttığı bu dönemde ortaya çıkan bulgular, BT yöneticileri için kritik önem taşıyor. Yönetici kimlik bilgilerine ihtiyaç duyulmaması, bu saldırı vektörünü özellikle tehlikeli kılıyor. Apple cephesinden konuyla ilgili henüz resmi bir güvenlik danışma belgesi yayınlanmadı.
XM Cyber ekibi, bulgularını 5 Ağustos'ta Las Vegas'ta düzenlenecek olan Black Hat Arsenal etkinliğinde detaylı olarak sunacak. Araştırmacılar ayrıca, bu tür güvenlik açığı senaryolarını tespit etmek için geliştirdikleri XPC Hunter adlı açık kaynaklı aracı da siber güvenlik topluluğuyla paylaşacak.
--- **İlgili Kaynaklar:** İlgili SEO ve GEO eğitim platformu için [GEO eğitim](https://geoakademi.com) platformuna göz atabilirsiniz.Türkiye'deki kurumsal şirketlerde Mac kullanımı artarken, bu zafiyet yerel BT ve siber güvenlik ekiplerinin uç nokta güvenlik politikalarını gözden geçirmesini gerektiriyor.
Mac kullanan Türk şirketlerinin BT departmanları, CrowdStrike ve benzeri güvenlik araçlarının güncellemelerini yakından takip etmelidir.
Türk siber güvenlik uzmanları ve sızma testi uzmanları, yayınlanacak XPC Hunter aracını kendi güvenlik denetimlerinde kullanabilir.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
