Uma pesquisa divulgada nesta semana mostrou que qualquer usuário comum de um computador com macOS consegue desativar silenciosamente softwares de segurança corporativa. O feito pode ser realizado sem precisar de senha de administrador, explorar falhas no núcleo do sistema ou sem deixar rastros perceptíveis.
A descoberta é da empresa de segurança XM Cyber e afeta produtos amplamente usados em ambientes empresariais, como ferramentas de detecção de ameaças e gerenciamento de dispositivos.
smart_display
Nossos vídeos em destaque
O que é XPC
Para entender a falha, é preciso saber como o macOS organiza seus aplicativos. Muitos programas funcionam em duas partes: uma parte visível, com a qual o usuário interage, e outra com um processo rodando em segundo plano – com privilégios elevados, capaz de executar ações mais sensíveis no sistema.
Essas duas partes se comunicam por um mecanismo chamado XPC. Basicamente, é um canal interno que permite que componentes de um mesmo aplicativo troquem mensagens. O processo privilegiado confia nas mensagens recebidas desde que elas venham de um componente com a assinatura digital correta.
O problema é que o macOS guarda essa verificação de assinatura em um cache temporário. Depois que um aplicativo legítimo é aberto e sua assinatura é confirmada, o sistema registra essa confiança e não a reavalia imediatamente. A XM Cyber descobriu que é possível explorar exatamente essa janela.
Como o ataque funciona na prática
Um atacante com acesso a uma conta comum no computador abre um aplicativo legítimo e assinado. Isso faz o sistema registrar a assinatura daquele processo como confiável. Em seguida, o atacante modifica a estrutura interna do aplicativo para injetar um arquivo de interface malicioso, chamado de NIB.
)
O processo modificado passa a rodar dentro do contexto de confiança do aplicativo original. A partir daí, ele consegue se comunicar com o processo privilegiado em segundo plano como se fosse um componente legítimo, sem precisar de nenhuma autenticação adicional.
Com esse acesso, o código malicioso pode chamar funções sensíveis que os próprios softwares de segurança expõem internamente. Funções pensadas para uso interno, como desligar extensões do sistema ou encerrar agentes de monitoramento. O resultado é que o software de segurança acaba se desativando sozinho, por confiar em quem está pedindo.
Produtos afetados e respostas dos fabricantes
A XM Cyber validou a técnica contra ferramentas reais. No caso do Falcon, da CrowdStrike, os pesquisadores conseguiram descarregar completamente o agente de segurança a partir de uma conta comum, interrompendo a detecção de ameaças, o monitoramento de processos e a visibilidade de rede.
)
A CrowdStrike confirmou a descoberta, disse que pagou uma recompensa ao pesquisador e adicionou proteções e detecções em todas as versões suportadas do sensor para macOS.
A ferramenta de gerenciamento de dispositivos da Kandji também foi afetada. Os pesquisadores conseguiram desativar permanentemente o agente em duas etapas, eliminando as proteções e encerrando a extensão de segurança do sistema. A Kandji corrigiu o problema, e a vulnerabilidade recebeu o identificador CVE-2026-39118.
A técnica não usa exploração de memória nem instala arquivos suspeitos. Ela abusa de um comportamento legítimo do próprio sistema operacional, o que significa que não aciona as assinaturas típicas de ataques e não deixa entradas óbvias nos registros de eventos.
Isso torna o método especialmente preocupante em cenários de ameaça interna ou em situações em que um atacante já tenha conseguido acesso inicial ao sistema.
)
A correção existe e é simples
A XM Cyber aponta que o próprio macOS oferece a solução desde a versão 13 do sistema. Desenvolvedores podem verificar a identidade real de quem está se comunicando pelo XPC durante o início da conexão, em vez de confiar apenas na assinatura em cache.
Hillel Pinto, pesquisador da XM Cyber responsável pela descoberta, também criou uma ferramenta de código aberto chamada XPC Hunter. Ela varre os aplicativos instalados no Mac em busca de interfaces XPC vulneráveis a esse tipo de ataque. A ferramenta será apresentada na conferência de segurança Black Hat US, em agosto.
Com os fabricantes citados já tendo corrigido o problema, o risco mais amplo está nos demais aplicativos macOS que ainda expõem interfaces XPC privilegiadas sem validação adequada.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
