文章总结： XMCyber演示了一种macOS攻击技术，允许非管理员用户静默禁用企业端点安全工具（如EDR和MDM代理），该技术通过滥用XPC连接验证和NIB文件注入，利用合法签名应用的代码签名缓存持久性实现权限提升。CrowdStrike和Kandji已修复相关问题，研究人员将发布开源工具XPCHunter并计划在BlackHatUSA2026展示。 综合评分： 85 文章分类： 漏洞分析,终端安全,恶意软件,macOS安全,威胁情报

【安全圈】macOS 弱点被串联利用，静默禁用端点安全代理

安全圈

2026年6月25日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

网络安全公司 XM Cyber 演示了一种 macOS 攻击技术，允许标准的非管理用户账户静默禁用企业端点安全工具，包括 EDR 和 MDM 代理，而不会触发警报或需要内核漏洞利用。

一些底层原语，包括滥用弱验证的 XPC 连接以及将恶意载荷注入应用程序的 Interface Builder（NIB）文件，已被安全研究人员公开记录多年，并且 Apple 已部分解决。

然而，该研究引入了一种新颖的攻击链，利用了合法签名应用程序执行后内核代码签名信任缓存的持久性，允许攻击者注入冒充受信任应用组件的恶意载荷，并静默调用特权 XPC 方法。

该网络安全公司指出，该攻击技术滥用了合法的 macOS 行为，而非软件漏洞。

该技术已成功针对 CrowdStrike Falcon Sensor 进行演示——从标准用户账户完全卸载了该传感器；以及针对 Kandji MDM——通过两阶段链永久禁用了该 MDM。XM Cyber 表示，针对 Kandji 的利用清除了 EDR 防护并终止了 Endpoint Security Framework 扩展。

据该安全公司称，CrowdStrike 迅速修复了该问题，支付了赏金，并在所有受支持的 macOS 传感器版本上添加了检测和预防功能。Kandji 已修补该问题，并将 CVE-2026-39118 分配给该漏洞。第三家未具名的企业 EDR 供应商也成功被攻击，目前正在开发补丁。

XM Cyber 研究员 Hillel Pinto 将发布一个名为 XPC Hunter 的开源发现工具，该工具可自动识别所有已安装 macOS 应用程序中可利用的 XPC 权限提升面，完整演示计划于 2026 年 8 月的 Black Hat USA 上进行。

SecurityWeek 已联系 Apple、CrowdStrike 和 Kandji 寻求评论，如有任何说明将更新本文。

更新： CrowdStrike 发言人告诉 SecurityWeek：“该技术利用了 macOS 的一个问题，我们已为 Falcon 传感器提供了检测和预防措施。”

END

阅读推荐

【安全圈】你的C盘是不是又红了？WPS这次终于回应了！

【安全圈】苹果手机出了个”绝症漏洞”：修不了、防不住，影响上亿部设备！

【安全圈】WhatsApp 钓鱼攻击利用虚假商务文档入侵 PC

【安全圈】13个字就能投毒AI搜索结果？ChatGPT和Gemini都中招了

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】macOS 弱点被串联利用，静默禁用端点安全代理》