No Admin? No Problem: How a Standard macOS Account Can Silently Blind Your EDR

L'hypothèse de sécurité au cœur de la plupart des déploiements macOS en entreprise ressemble à peu près à ceci : verrouiller les identifiants administrateur, imposer l'inscription MDM, ajouter un agent EDR par-dessus, et vos postes de travail sont protégés. Les acteurs malveillants doivent d'abord élever leurs privilèges, n'est-ce pas ? Cette hypothèse vient de prendre un coup bien net. Le 24 juin 2026, des chercheurs d'XM Cyber ont divulgué une technique permettant à un compte utilisateur standard, sans aucun droit administratif, de décharger silencieusement les outils de sécurité d'entreprise sans déclencher la moindre alerte, sans toucher à un exploit noyau, et sans jamais voir apparaître une invite de mot de passe.

Le Trust Cache : la mémoire de macOS qui survit à l'application

Pour comprendre pourquoi cette technique fonctionne, il faut d'abord saisir rapidement comment macOS décide de ce à quoi il fait confiance. Lorsqu'une application légitimement signée s'exécute, le noyau enregistre son CDHash — une empreinte cryptographique du code de l'application — dans une structure appelée le trust cache de signature de code. Selon Eduard Kovacs de SecurityWeek, l'élément nouveau dans la recherche d'XM Cyber concerne ce qui se passe après la fermeture de cette application légitime : le noyau continue de faire confiance à ce CDHash. Un attaquant peut injecter un payload malveillant qui se fait passer pour le composant de l'application de confiance après coup, et le trust cache du noyau n'a aucune raison de s'y opposer. L'application signée a fait le gros du travail ; le payload malveillant n'a plus qu'à entrer avec ses identifiants.

C'est là la faille architecturale critique. La recherche d'XM Cyber, telle que rapportée par SecurityWeek et Mallory, indique explicitement que la technique exploite un comportement légitime de macOS plutôt qu'une vulnérabilité logicielle discrète. Aucun CVE n'a été déposé contre le noyau d'Apple ici, car le noyau fait techniquement exactement ce pour quoi il a été conçu. Cette distinction est extrêmement importante pour les équipes de défense, car il n'existe pas de correctif Apple à attendre qui fermera spécifiquement cette porte.

Comment la chaîne fonctionne réellement

La chaîne d'attaque complète, telle que décrite par le résumé de renseignement de Mallory, relie trois primitives entre elles. Premièrement, des connexions XPC faiblement validées : le mécanisme de communication inter-processus de macOS ne vérifie pas toujours rigoureusement que l'appelant est bien celui qu'il prétend être. Deuxièmement, l'injection de payload malveillant dans les fichiers NIB d'Interface Builder — les fichiers de définition d'interface utilisateur que les applications macOS utilisent pour construire leurs interfaces. Ces deux primitives sont documentées publiquement depuis des années et ont été partiellement traitées par Apple, selon SecurityWeek.

Le troisième élément est la contribution nouvelle : l'exploitation de la persistance du trust cache décrite ci-dessus pour faire en sorte que le payload injecté ressemble à un composant d'application de confiance lorsqu'il appelle des méthodes XPC privilégiées. Il en résulte qu'un utilisateur standard peut invoquer des fonctions privilégiées qui devraient, selon toute intention architecturale, nécessiter une autorisation administrateur. XM Cyber a confirmé avoir utilisé cette méthode avec succès pour décharger silencieusement ou désactiver définitivement CrowdStrike Falcon Sensor, Kandji MDM et un troisième produit EDR non nommé, le tout sans déclencher d'alertes, selon le rapport de Mallory.

Qui a corrigé,

qui ne l'a pas fait, et l'épineuse question Apple

Kandji a réagi rapidement. La société a résolu le problème dans une mise à jour de son agent et a attribué le CVE-2026-39118, selon Mallory. CrowdStrike Falcon Sensor et le troisième produit EDR non nommé ne disposent pas encore d'un statut de correctif public confirmé dans les éléments disponibles. Apple n'a pas publié de correctif pour le comportement sous-jacent du trust cache, ce qui est cohérent avec la position d'XM Cyber selon laquelle il s'agit d'un abus de la conception légitime du système d'exploitation plutôt que d'un bogue corrigeable au sens classique du terme.

C'est là que la situation devient intéressante du point de vue de la sécurité de la plateforme. Jai Vijayan de Dark Reading, qui couvre la même divulgation, note que la technique permet à un attaquant d'usurper l'identité de composants d'applications de confiance et d'effectuer silencieusement des actions privilégiées. Les mitigations partielles qu'Apple a précédemment publiées pour la validation XPC et l'injection NIB n'ont pas fermé la chaîne complète. Les équipes de défense ne peuvent pas simplement attendre qu'un correctif de plateforme apparaisse et considérer le travail comme terminé.

Ce que cela signifie concrètement pour vous

Si vous gérez un parc macOS et que vous vous appuyez sur une couverture EDR ou MDM comme principale couche de détection, cette recherche devrait vous inciter à avoir une conversation honnête sur ce que cette couverture garantit réellement. Un acteur malveillant qui accède à un compte utilisateur standard — que ce soit par hameçonnage, bourrage d'identifiants ou accès physique — dispose désormais d'un chemin démontré pour faire taire les outils sur lesquels vous comptez pour le détecter.

Le guide Jamf sur l'élévation de privilèges publié en 2024 reste un contexte pertinent : le principe selon lequel les frontières de privilèges sur les appareils Apple nécessitent une application active plutôt qu'une hypothèse passive n'est pas nouveau, mais la recherche d'XM Cyber lui donne de nouvelles dents bien acérées.

Les étapes pratiques immédiates pour les équipes en entreprise : vérifiez que vous utilisez l'agent mis à jour de Kandji, consultez vos autres fournisseurs EDR pour connaître l'état des avis sur cette technique spécifique, et examinez si vos politiques de validation des connexions XPC sont aussi strictes qu'elles pourraient l'être. Surveillez le blog d'XM Cyber pour l'analyse technique complète, et observez si la réponse d'Apple prend la forme d'un avis de sécurité ou d'une révision architecturale discrète dans une future version de macOS. La différence entre ces deux issues en dira long sur la façon dont Cupertino prend au sérieux le modèle de confiance qu'il a construit.