
इस लेख में (4)
नो एडमिन? नो प्रॉब्लम: कैसे एक स्टैंडर्ड macOS अकाउंट चुपचाप आपके EDR को अंधा कर सकता है
मुख्य बातें
- एक मानक macOS उपयोगकर्ता खाता XM Cyber की चेन्ड ट्रस्ट कैश तकनीक का उपयोग करके EDR और MDM एजेंटों को चुपचाप निष्क्रिय करने के लिए पर्याप्त है; किसी व्यवस्थापक पासवर्ड या कर्नेल एक्सप्लॉइट की आवश्यकता नहीं है।
- Kandji ने अपने एजेंट को पैच किया और CVE-2026-39118 जारी किया; एंटरप्राइज़ टीमों को तुरंत सभी macOS सुरक्षा उपकरणों में पैच स्थिति की जांच करनी चाहिए।
- चूँकि यह तकनीक एक अलग बग के बजाय macOS के वैध डिज़ाइन का दुरुपयोग करती है, इसलिए रक्षक एक ही Apple फिक्स का इंतज़ार नहीं कर सकते; प्रत्येक सुरक्षा विक्रेता को अपनी XPC और कोड-साइनिंग सत्यापन प्रक्रिया को मजबूत करना होगा।
XM Cyber के शोध में एक ऐसी चेन्ड तकनीक का खुलासा हुआ है जो macOS के ट्रस्ट व्यवहार का फायदा उठाकर बिना किसी privilege प्रॉम्प्ट के CrowdStrike, Kandji MDM और अन्य सुरक्षा टूल्स को अनलोड कर देती है।
XM Cyber के शोध में एक ऐसी चेन्ड तकनीक का खुलासा हुआ है जो macOS के ट्रस्ट व्यवहार का फायदा उठाकर बिना किसी प्रिविलेज प्रॉम्प्ट के CrowdStrike, Kandji MDM और अन्य सुरक्षा टूल्स को अनलोड कर देती है।
अधिकांश एंटरप्राइज़ macOS डिप्लॉयमेंट में जो सुरक्षा धारणा बनी हुई है, वह कुछ इस तरह है: एडमिन क्रेडेंशियल्स को लॉक डाउन करो, MDM एनरोलमेंट लागू करो, एक EDR एजेंट की परत चढ़ाओ, और आपका एंडपॉइंट सुरक्षित है। थ्रेट एक्टर्स को पहले प्रिविलेज एस्केलेट करनी होगी, है न? यह धारणा अभी-अभी एक सीधी चोट खा गई है। 24 जून, 2026 को XM Cyber के शोधकर्ताओं ने एक ऐसी तकनीक का खुलासा किया जो एक बिल्कुल सामान्य, गैर-प्रशासनिक यूज़र अकाउंट को बिना कोई अलर्ट ट्रिगर किए, बिना किसी कर्नेल एक्सप्लॉइट को छुए, और बिना कभी पासवर्ड प्रॉम्प्ट देखे, एंटरप्राइज़ सुरक्षा टूलिंग को चुपचाप अनलोड करने देती है।
ट्रस्ट कैश: macOS की वह मेमोरी जो ऐप के बंद होने
के बाद भी जीवित रहती है यह समझने के लिए कि यह काम क्यों करता है, आपको जल्दी से यह जानना होगा कि macOS किस पर भरोसा करने का फैसला कैसे करता है। जब कोई वैध रूप से साइन किया गया एप्लिकेशन चलता है, तो कर्नेल उसके CDHash को — ऐप के कोड की एक क्रिप्टोग्राफिक फिंगरप्रिंट — एक संरचना में दर्ज करता है जिसे code-signing trust cache कहा जाता है। SecurityWeek के Eduard Kovacs के अनुसार, XM Cyber की रिसर्च का नया पहलू यह है कि उस वैध ऐप के बंद होने के बाद क्या होता है: कर्नेल उस CDHash पर भरोसा करता रहता है। एक हमलावर बाद में एक दुर्भावनापूर्ण पेलोड इंजेक्ट कर सकता है जो उस भरोसेमंद ऐप कंपोनेंट का रूप धारण कर लेता है, और कर्नेल के ट्रस्ट कैश के पास आपत्ति करने का कोई कारण नहीं होता। साइन किए गए ऐप ने मेहनत की; दुर्भावनापूर्ण पेलोड बस उसके क्रेडेंशियल्स पर चलकर अंदर आ जाता है।
यह वह महत्वपूर्ण आर्किटेक्चरल कमज़ोरी है। XM Cyber की रिसर्च, जैसा कि SecurityWeek और Mallory दोनों ने रिपोर्ट किया है, स्पष्ट है कि यह तकनीक किसी अलग सॉफ़्टवेयर कमज़ोरी का फायदा उठाने के बजाय macOS के वैध व्यवहार का दुरुपयोग करती है। यहाँ Apple के कर्नेल के विरुद्ध कोई CVE दर्ज नहीं है, क्योंकि कर्नेल तकनीकी रूप से ठीक वही कर रहा है जो उसे करने के लिए डिज़ाइन किया गया था। यह अंतर डिफेंडर्स के लिए अत्यंत महत्वपूर्ण है, क्योंकि कोई Apple पैच नहीं है जिसका इंतज़ार किया जाए जो इस विशेष दरवाज़े को बंद कर दे।
अटैक चेन वास्तव में कैसे काम करती है
पूरी अटैक चेन, जैसा कि Mallory की इंटेलिजेंस समरी में बताया गया है, तीन प्रिमिटिव को एक साथ जोड़ती है। पहला, कमज़ोर रूप से वैलिडेट किए गए XPC कनेक्शन: macOS का इंटर-प्रोसेस कम्युनिकेशन मैकेनिज़्म हमेशा यह कड़ाई से सत्यापित नहीं करता कि कॉलर वही है जो वह दावा करता है। दूसरा, Interface Builder NIB फ़ाइलों में दुर्भावनापूर्ण पेलोड इंजेक्शन — वे UI डेफिनिशन फ़ाइलें जिनका उपयोग macOS ऐप्स अपने इंटरफ़ेस बनाने के लिए करते हैं। SecurityWeek के अनुसार, इन दोनों प्रिमिटिव को सार्वजनिक रूप से वर्षों से दस्तावेज़ीकृत किया गया है और Apple द्वारा आंशिक रूप से संबोधित किया गया है। तीसरा हिस्सा नया योगदान है: ऊपर वर्णित ट्रस्ट कैश पर्सिस्टेंस का फायदा उठाना ताकि इंजेक्ट किया गया पेलोड तब एक भरोसेमंद ऐप कंपोनेंट जैसा दिखे जब वह प्रिविलेज्ड XPC मेथड्स को कॉल करे।
परिणाम यह है कि एक सामान्य यूज़र उन प्रिविलेज्ड फंक्शन्स को इनवोक कर सकता है जिन्हें हर आर्किटेक्चरल इरादे से, एडमिनिस्ट्रेटर ऑथराइज़ेशन की आवश्यकता होनी चाहिए। XM Cyber ने पुष्टि की कि उसने इस विधि का उपयोग CrowdStrike Falcon Sensor, Kandji MDM, और एक अज्ञात तीसरे EDR उत्पाद को बिना अलर्ट ट्रिगर किए चुपचाप अनलोड या स्थायी रूप से निष्क्रिय करने के लिए सफलतापूर्वक किया, Mallory की रिपोर्ट के अनुसार।
किसने पैच किया,
किसने नहीं, और Apple का असहज सवाल Kandji ने तेज़ी से कदम उठाया। कंपनी ने एक अपडेटेड एजेंट रिलीज़ में इस समस्या को संबोधित किया और CVE-2026-39118 असाइन किया, Mallory के अनुसार। उपलब्ध साक्ष्यों में CrowdStrike के Falcon Sensor और अज्ञात तीसरे EDR उत्पाद के लिए अभी तक कोई सार्वजनिक पैच स्टेटस की पुष्टि नहीं हुई है। Apple ने अंतर्निहित ट्रस्ट कैश व्यवहार के लिए कोई फ़िक्स जारी नहीं किया है, जो XM Cyber के इस फ्रेमिंग के अनुरूप है कि यह पारंपरिक अर्थ में एक सुधार योग्य बग के बजाय वैध OS डिज़ाइन का दुरुपयोग है।
यहीं से प्लेटफ़ॉर्म सुरक्षा के नज़रिए से स्थिति दिलचस्प हो जाती है। Dark Reading के Jai Vijayan, उसी खुलासे पर रिपोर्ट करते हुए, नोट करते हैं कि यह तकनीक एक हमलावर को भरोसेमंद एप्लिकेशन कंपोनेंट का रूप धारण करने और चुपचाप प्रिविलेज्ड कार्य करने में सक्षम बनाती है। XPC वैलिडेशन और NIB इंजेक्शन के लिए Apple द्वारा पहले भेजे गए आंशिक शमन उपायों ने पूरी चेन को बंद नहीं किया है। डिफेंडर्स बस एक प्लेटफ़ॉर्म पैच के आने का इंतज़ार करके काम पूरा नहीं कर सकते।
इसका वास्तव में आपके लिए क्या मतलब है
यदि आप एक macOS फ्लीट चलाते हैं और अपनी प्राथमिक डिटेक्शन लेयर के रूप में EDR या MDM कवरेज पर भरोसा कर रहे हैं, तो यह रिसर्च इस बारे में एक ईमानदार बातचीत को प्रेरित करनी चाहिए कि वह कवरेज वास्तव में क्या गारंटी देती है। एक थ्रेट एक्टर जो किसी सामान्य यूज़र अकाउंट तक पहुँच प्राप्त कर लेता है — चाहे फिशिंग, क्रेडेंशियल स्टफिंग, या फिजिकल एक्सेस के माध्यम से — के पास अब उन टूल्स को चुप कराने का एक प्रदर्शित रास्ता है जिन पर आप उन्हें पकड़ने के लिए निर्भर हैं।
2024 में प्रकाशित Jamf का प्रिविलेज एस्केलेशन गाइडेंस प्रासंगिक पृष्ठभूमि बना हुआ है: यह सिद्धांत कि Apple डिवाइस पर प्रिविलेज सीमाओं को निष्क्रिय धारणा के बजाय सक्रिय प्रवर्तन की आवश्यकता है, नया नहीं है, लेकिन XM Cyber की रिसर्च इसे एक तीखी नई धार देती है।
एंटरप्राइज़ टीमों के लिए तत्काल व्यावहारिक कदम: सत्यापित करें कि आप Kandji का अपडेटेड एजेंट चला रहे हैं, इस विशेष तकनीक पर एडवाइज़री स्टेटस के लिए अपने अन्य EDR विक्रेताओं से जाँच करें, और समीक्षा करें कि क्या आपकी XPC कनेक्शन वैलिडेशन पॉलिसी उतनी मज़बूत हैं जितनी हो सकती हैं। पूर्ण तकनीकी विस्तृत विवरण के लिए XM Cyber ब्लॉग देखते रहें, और देखें कि Apple की प्रतिक्रिया में एक सुरक्षा एडवाइज़री शामिल है या भविष्य के macOS रिलीज़ में एक शांत आर्किटेक्चरल संशोधन। इन दो परिणामों के बीच का अंतर बहुत कुछ बताएगा कि Cupertino उस ट्रस्ट मॉडल को कितनी गंभीरता से लेता है जो उसने बनाया।