XM Cyber की तकनीक से कौन से सुरक्षा उपकरण प्रभावित पाए गए?

XM Cyber ने CrowdStrike Falcon Sensor, Kandji MDM और एक तीसरे अज्ञात EDR उत्पाद को चुपचाप निष्क्रिय करने में सफलता प्रदर्शित की। Kandji ने एक पैच जारी किया है और CVE-2026-39118 असाइन किया है; प्रकाशन के समय तक अन्य के लिए सार्वजनिक पैच स्थिति की पुष्टि नहीं हुई थी।

क्या इस जोखिम को दूर करने के लिए Apple को पैच जारी करना होगा?

XM Cyber इस तकनीक को एक अलग सॉफ़्टवेयर भेद्यता के बजाय macOS के वैध व्यवहार के दुरुपयोग के रूप में प्रस्तुत करता है, जिसका अर्थ है कि कोई सीधा Apple कर्नेल पैच नहीं है जो इस समस्या को बंद कर सके। व्यक्तिगत सुरक्षा विक्रेताओं को अपनी XPC सत्यापन और NIB फ़ाइल हैंडलिंग को स्वयं मजबूत करना होगा।

एंटरप्राइज़ सुरक्षा टीमें अभी क्या कर सकती हैं?

Kandji एजेंटों को पैच किए गए संस्करण में अपडेट करें, इस तकनीक पर सलाहकार स्थिति के लिए अन्य EDR विक्रेताओं से संपर्क करें, और अपने macOS बेड़े में XPC कनेक्शन सत्यापन नीतियों का ऑडिट करें। जब तक विक्रेता इसकी पुष्टि न करें, यह न मानें कि वर्तमान EDR कवरेज बरकरार है।

1 / 1

macOS सुरक्षा XM Cyber एंडपॉइंट डिटेक्शन और रिस्पॉन्स विशेषाधिकार वृद्धि CrowdStrike Kandji MDM CVE-2026-39118 breach-breakdown

Sam Jun 26, 2026

इस लेख में (4)

नो एडमिन? नो प्रॉब्लम: कैसे एक स्टैंडर्ड macOS अकाउंट चुपचाप आपके EDR को अंधा कर सकता है

मुख्य बातें

एक मानक macOS उपयोगकर्ता खाता XM Cyber की चेन्ड ट्रस्ट कैश तकनीक का उपयोग करके EDR और MDM एजेंटों को चुपचाप निष्क्रिय करने के लिए पर्याप्त है; किसी व्यवस्थापक पासवर्ड या कर्नेल एक्सप्लॉइट की आवश्यकता नहीं है।
Kandji ने अपने एजेंट को पैच किया और CVE-2026-39118 जारी किया; एंटरप्राइज़ टीमों को तुरंत सभी macOS सुरक्षा उपकरणों में पैच स्थिति की जांच करनी चाहिए।
चूँकि यह तकनीक एक अलग बग के बजाय macOS के वैध डिज़ाइन का दुरुपयोग करती है, इसलिए रक्षक एक ही Apple फिक्स का इंतज़ार नहीं कर सकते; प्रत्येक सुरक्षा विक्रेता को अपनी XPC और कोड-साइनिंग सत्यापन प्रक्रिया को मजबूत करना होगा।

ट्रस्ट कैश: macOS …अटैक चेन वास्तव मे…किसने पैच किया,इसका वास्तव में आप…

Sam · Jun 26, 2026

XM Cyber के शोध में एक ऐसी चेन्ड तकनीक का खुलासा हुआ है जो macOS के ट्रस्ट व्यवहार का फायदा उठाकर बिना किसी privilege प्रॉम्प्ट के CrowdStrike, Kandji MDM और अन्य सुरक्षा टूल्स को अनलोड कर देती है।

XM Cyber के शोध में एक ऐसी चेन्ड तकनीक का खुलासा हुआ है जो macOS के ट्रस्ट व्यवहार का फायदा उठाकर बिना किसी प्रिविलेज प्रॉम्प्ट के CrowdStrike, Kandji MDM और अन्य सुरक्षा टूल्स को अनलोड कर देती है।

अधिकांश एंटरप्राइज़ macOS डिप्लॉयमेंट में जो सुरक्षा धारणा बनी हुई है, वह कुछ इस तरह है: एडमिन क्रेडेंशियल्स को लॉक डाउन करो, MDM एनरोलमेंट लागू करो, एक EDR एजेंट की परत चढ़ाओ, और आपका एंडपॉइंट सुरक्षित है। थ्रेट एक्टर्स को पहले प्रिविलेज एस्केलेट करनी होगी, है न? यह धारणा अभी-अभी एक सीधी चोट खा गई है। 24 जून, 2026 को XM Cyber के शोधकर्ताओं ने एक ऐसी तकनीक का खुलासा किया जो एक बिल्कुल सामान्य, गैर-प्रशासनिक यूज़र अकाउंट को बिना कोई अलर्ट ट्रिगर किए, बिना किसी कर्नेल एक्सप्लॉइट को छुए, और बिना कभी पासवर्ड प्रॉम्प्ट देखे, एंटरप्राइज़ सुरक्षा टूलिंग को चुपचाप अनलोड करने देती है।

ट्रस्ट कैश: macOS की वह मेमोरी जो ऐप के बंद होने

के बाद भी जीवित रहती है यह समझने के लिए कि यह काम क्यों करता है, आपको जल्दी से यह जानना होगा कि macOS किस पर भरोसा करने का फैसला कैसे करता है। जब कोई वैध रूप से साइन किया गया एप्लिकेशन चलता है, तो कर्नेल उसके CDHash को — ऐप के कोड की एक क्रिप्टोग्राफिक फिंगरप्रिंट — एक संरचना में दर्ज करता है जिसे code-signing trust cache कहा जाता है। SecurityWeek के Eduard Kovacs के अनुसार, XM Cyber की रिसर्च का नया पहलू यह है कि उस वैध ऐप के बंद होने के बाद क्या होता है: कर्नेल उस CDHash पर भरोसा करता रहता है। एक हमलावर बाद में एक दुर्भावनापूर्ण पेलोड इंजेक्ट कर सकता है जो उस भरोसेमंद ऐप कंपोनेंट का रूप धारण कर लेता है, और कर्नेल के ट्रस्ट कैश के पास आपत्ति करने का कोई कारण नहीं होता। साइन किए गए ऐप ने मेहनत की; दुर्भावनापूर्ण पेलोड बस उसके क्रेडेंशियल्स पर चलकर अंदर आ जाता है।

यह वह महत्वपूर्ण आर्किटेक्चरल कमज़ोरी है। XM Cyber की रिसर्च, जैसा कि SecurityWeek और Mallory दोनों ने रिपोर्ट किया है, स्पष्ट है कि यह तकनीक किसी अलग सॉफ़्टवेयर कमज़ोरी का फायदा उठाने के बजाय macOS के वैध व्यवहार का दुरुपयोग करती है। यहाँ Apple के कर्नेल के विरुद्ध कोई CVE दर्ज नहीं है, क्योंकि कर्नेल तकनीकी रूप से ठीक वही कर रहा है जो उसे करने के लिए डिज़ाइन किया गया था। यह अंतर डिफेंडर्स के लिए अत्यंत महत्वपूर्ण है, क्योंकि कोई Apple पैच नहीं है जिसका इंतज़ार किया जाए जो इस विशेष दरवाज़े को बंद कर दे।

अटैक चेन वास्तव में कैसे काम करती है

पूरी अटैक चेन, जैसा कि Mallory की इंटेलिजेंस समरी में बताया गया है, तीन प्रिमिटिव को एक साथ जोड़ती है। पहला, कमज़ोर रूप से वैलिडेट किए गए XPC कनेक्शन: macOS का इंटर-प्रोसेस कम्युनिकेशन मैकेनिज़्म हमेशा यह कड़ाई से सत्यापित नहीं करता कि कॉलर वही है जो वह दावा करता है। दूसरा, Interface Builder NIB फ़ाइलों में दुर्भावनापूर्ण पेलोड इंजेक्शन — वे UI डेफिनिशन फ़ाइलें जिनका उपयोग macOS ऐप्स अपने इंटरफ़ेस बनाने के लिए करते हैं। SecurityWeek के अनुसार, इन दोनों प्रिमिटिव को सार्वजनिक रूप से वर्षों से दस्तावेज़ीकृत किया गया है और Apple द्वारा आंशिक रूप से संबोधित किया गया है। तीसरा हिस्सा नया योगदान है: ऊपर वर्णित ट्रस्ट कैश पर्सिस्टेंस का फायदा उठाना ताकि इंजेक्ट किया गया पेलोड तब एक भरोसेमंद ऐप कंपोनेंट जैसा दिखे जब वह प्रिविलेज्ड XPC मेथड्स को कॉल करे।

परिणाम यह है कि एक सामान्य यूज़र उन प्रिविलेज्ड फंक्शन्स को इनवोक कर सकता है जिन्हें हर आर्किटेक्चरल इरादे से, एडमिनिस्ट्रेटर ऑथराइज़ेशन की आवश्यकता होनी चाहिए। XM Cyber ने पुष्टि की कि उसने इस विधि का उपयोग CrowdStrike Falcon Sensor, Kandji MDM, और एक अज्ञात तीसरे EDR उत्पाद को बिना अलर्ट ट्रिगर किए चुपचाप अनलोड या स्थायी रूप से निष्क्रिय करने के लिए सफलतापूर्वक किया, Mallory की रिपोर्ट के अनुसार।

किसने पैच किया,

किसने नहीं, और Apple का असहज सवाल Kandji ने तेज़ी से कदम उठाया। कंपनी ने एक अपडेटेड एजेंट रिलीज़ में इस समस्या को संबोधित किया और CVE-2026-39118 असाइन किया, Mallory के अनुसार। उपलब्ध साक्ष्यों में CrowdStrike के Falcon Sensor और अज्ञात तीसरे EDR उत्पाद के लिए अभी तक कोई सार्वजनिक पैच स्टेटस की पुष्टि नहीं हुई है। Apple ने अंतर्निहित ट्रस्ट कैश व्यवहार के लिए कोई फ़िक्स जारी नहीं किया है, जो XM Cyber के इस फ्रेमिंग के अनुरूप है कि यह पारंपरिक अर्थ में एक सुधार योग्य बग के बजाय वैध OS डिज़ाइन का दुरुपयोग है।

यहीं से प्लेटफ़ॉर्म सुरक्षा के नज़रिए से स्थिति दिलचस्प हो जाती है। Dark Reading के Jai Vijayan, उसी खुलासे पर रिपोर्ट करते हुए, नोट करते हैं कि यह तकनीक एक हमलावर को भरोसेमंद एप्लिकेशन कंपोनेंट का रूप धारण करने और चुपचाप प्रिविलेज्ड कार्य करने में सक्षम बनाती है। XPC वैलिडेशन और NIB इंजेक्शन के लिए Apple द्वारा पहले भेजे गए आंशिक शमन उपायों ने पूरी चेन को बंद नहीं किया है। डिफेंडर्स बस एक प्लेटफ़ॉर्म पैच के आने का इंतज़ार करके काम पूरा नहीं कर सकते।

इसका वास्तव में आपके लिए क्या मतलब है

यदि आप एक macOS फ्लीट चलाते हैं और अपनी प्राथमिक डिटेक्शन लेयर के रूप में EDR या MDM कवरेज पर भरोसा कर रहे हैं, तो यह रिसर्च इस बारे में एक ईमानदार बातचीत को प्रेरित करनी चाहिए कि वह कवरेज वास्तव में क्या गारंटी देती है। एक थ्रेट एक्टर जो किसी सामान्य यूज़र अकाउंट तक पहुँच प्राप्त कर लेता है — चाहे फिशिंग, क्रेडेंशियल स्टफिंग, या फिजिकल एक्सेस के माध्यम से — के पास अब उन टूल्स को चुप कराने का एक प्रदर्शित रास्ता है जिन पर आप उन्हें पकड़ने के लिए निर्भर हैं।

2024 में प्रकाशित Jamf का प्रिविलेज एस्केलेशन गाइडेंस प्रासंगिक पृष्ठभूमि बना हुआ है: यह सिद्धांत कि Apple डिवाइस पर प्रिविलेज सीमाओं को निष्क्रिय धारणा के बजाय सक्रिय प्रवर्तन की आवश्यकता है, नया नहीं है, लेकिन XM Cyber की रिसर्च इसे एक तीखी नई धार देती है।

एंटरप्राइज़ टीमों के लिए तत्काल व्यावहारिक कदम: सत्यापित करें कि आप Kandji का अपडेटेड एजेंट चला रहे हैं, इस विशेष तकनीक पर एडवाइज़री स्टेटस के लिए अपने अन्य EDR विक्रेताओं से जाँच करें, और समीक्षा करें कि क्या आपकी XPC कनेक्शन वैलिडेशन पॉलिसी उतनी मज़बूत हैं जितनी हो सकती हैं। पूर्ण तकनीकी विस्तृत विवरण के लिए XM Cyber ब्लॉग देखते रहें, और देखें कि Apple की प्रतिक्रिया में एक सुरक्षा एडवाइज़री शामिल है या भविष्य के macOS रिलीज़ में एक शांत आर्किटेक्चरल संशोधन। इन दो परिणामों के बीच का अंतर बहुत कुछ बताएगा कि Cupertino उस ट्रस्ट मॉडल को कितनी गंभीरता से लेता है जो उसने बनाया।

स्रोत

प्रश्न और उत्तर

कर्नेल कोड-साइनिंग ट्रस्ट कैश किसी वैध रूप से हस्ताक्षरित ऐप के चलने पर उसका CDHash रिकॉर्ड करता है। XM Cyber ने पाया कि यह विश्वास ऐप के बंद होने के बाद भी बना रहता है, जिससे एक हमलावर एक दुर्भावनापूर्ण पेलोड इंजेक्ट कर सकता है जिसे कर्नेल अभी भी विश्वसनीय मानता है, और व्यवस्थापक क्रेडेंशियल के बिना विशेषाधिकार प्राप्त क्रियाएं संभव हो जाती हैं।