Tidak Punya Admin? Bukan Masalah: Bagaimana Akun macOS Standar Bisa Diam-diam Membutakan EDR Kamu

Asumsi keamanan yang tertanam dalam kebanyakan deployment macOS enterprise kurang lebih berbunyi begini: kunci kredensial admin, terapkan enrollment MDM, pasang agen EDR, dan endpoint kamu sudah terlindungi. Pelaku ancaman perlu eskalasi hak akses terlebih dahulu, bukan? Asumsi itu baru saja mendapat pukulan telak. Pada 24 Juni 2026, peneliti di XM Cyber mengungkapkan sebuah teknik yang memungkinkan akun pengguna standar yang sepenuhnya biasa—tanpa hak administrator—untuk secara diam-diam membongkar perangkat keamanan enterprise tanpa memicu satu pun peringatan, tanpa menyentuh eksploitasi kernel, dan tanpa pernah melihat prompt kata sandi.

Trust Cache: Memori macOS yang Bertahan Setelah Aplikasi Ditutup

Untuk memahami mengapa ini bisa terjadi, kamu perlu sedikit memahami bagaimana macOS memutuskan apa yang dipercaya. Ketika sebuah aplikasi yang ditandatangani secara sah berjalan, kernel mencatat CDHash-nya—sidik jari kriptografis dari kode aplikasi—dalam sebuah struktur yang disebut code-signing trust cache. Menurut Eduard Kovacs dari SecurityWeek, bagian baru dari penelitian XM Cyber adalah apa yang terjadi setelah aplikasi sah tersebut keluar: kernel tetap mempercayai CDHash tersebut. Seorang penyerang dapat menyuntikkan payload berbahaya yang menyamar sebagai komponen aplikasi tepercaya setelah kejadian, dan trust cache kernel tidak memiliki alasan untuk menolaknya. Aplikasi yang ditandatangani sudah melakukan kerja kerasnya; payload berbahaya tinggal masuk menggunakan kredensialnya.

Inilah celah arsitektur yang kritis. Penelitian XM Cyber, sebagaimana dilaporkan oleh SecurityWeek maupun Mallory, secara eksplisit menyatakan bahwa teknik ini menyalahgunakan perilaku macOS yang sah alih-alih mengeksploitasi kerentanan perangkat lunak yang spesifik. Tidak ada CVE yang diajukan terhadap kernel Apple di sini, karena kernel secara teknis melakukan persis apa yang dirancang untuk dilakukannya. Perbedaan ini sangat penting bagi para defender, karena tidak ada patch Apple yang perlu ditunggu untuk menutup pintu spesifik ini.

Bagaimana Rantai Serangan Ini Sebenarnya Berjalan

Rantai serangan lengkap, sebagaimana dijelaskan oleh ringkasan intelijen Mallory, menghubungkan tiga primitif secara bersamaan. Pertama, koneksi XPC yang validasinya lemah: mekanisme komunikasi antar-proses milik macOS tidak selalu memverifikasi secara ketat bahwa pemanggil adalah siapa yang diklaim. Kedua, injeksi payload berbahaya ke dalam file NIB Interface Builder—file definisi UI yang digunakan aplikasi macOS untuk membangun antarmukanya. Kedua primitif ini telah terdokumentasi secara publik selama bertahun-tahun dan telah sebagian ditangani oleh Apple, menurut SecurityWeek.

Bagian ketiga adalah kontribusi baru: mengeksploitasi persistensi trust cache yang dijelaskan di atas untuk membuat payload yang disuntikkan terlihat seperti komponen aplikasi tepercaya ketika memanggil metode XPC yang memiliki hak istimewa. Hasilnya adalah pengguna standar dapat memanggil fungsi-fungsi yang seharusnya, menurut setiap maksud arsitektur, memerlukan otorisasi administrator. XM Cyber mengonfirmasi bahwa mereka berhasil menggunakan metode ini untuk secara diam-diam membongkar atau menonaktifkan secara permanen CrowdStrike Falcon Sensor, Kandji MDM, dan satu produk EDR ketiga yang tidak disebutkan namanya—semuanya tanpa memicu peringatan, menurut laporan Mallory.

Siapa yang Sudah Patch,

Siapa yang Belum, dan Pertanyaan Canggung untuk Apple

Kandji bergerak cepat. Perusahaan tersebut menangani masalah ini dalam rilis agen yang diperbarui dan menetapkan CVE-2026-39118, menurut Mallory. CrowdStrike Falcon Sensor dan produk EDR ketiga yang tidak disebutkan namanya belum memiliki status patch publik yang dikonfirmasi dalam bukti yang tersedia. Apple belum mengeluarkan perbaikan untuk perilaku trust cache yang mendasarinya, konsisten dengan framing XM Cyber bahwa ini adalah penyalahgunaan desain OS yang sah alih-alih bug yang bisa diperbaiki dalam arti konvensional.

Di sinilah situasinya menjadi menarik dari sudut pandang keamanan platform. Jai Vijayan dari Dark Reading, yang melaporkan pengungkapan yang sama, mencatat bahwa teknik ini memungkinkan penyerang untuk menyamar sebagai komponen aplikasi tepercaya dan secara diam-diam melakukan tindakan yang memiliki hak istimewa. Mitigasi parsial yang sebelumnya dikirimkan Apple untuk validasi XPC dan injeksi NIB belum menutup rantai penuh. Para defender tidak bisa sekadar menunggu patch platform muncul dan menganggap pekerjaan selesai.

Apa Artinya Ini Sebenarnya Bagi Kamu

Jika kamu mengelola fleet macOS dan mengandalkan cakupan EDR atau MDM sebagai lapisan deteksi utama, penelitian ini seharusnya mendorong percakapan jujur tentang apa yang sebenarnya dijamin oleh cakupan tersebut. Pelaku ancaman yang mendapatkan akses ke akun pengguna standar—baik melalui phishing, credential stuffing, atau akses fisik—kini memiliki jalur yang sudah terbukti untuk membungkam alat-alat yang kamu andalkan untuk menangkap mereka.

Panduan eskalasi hak akses Jamf yang diterbitkan pada tahun 2024 tetap menjadi latar belakang yang relevan: prinsip bahwa batasan hak akses pada perangkat Apple memerlukan penegakan aktif alih-alih asumsi pasif bukanlah hal baru, tetapi penelitian XM Cyber memberikannya gigi yang tajam dan baru.

Langkah-langkah praktis segera untuk tim enterprise: verifikasi bahwa kamu menjalankan agen Kandji yang diperbarui, tanyakan kepada vendor EDR lainnya tentang status advisory untuk teknik spesifik ini, dan tinjau apakah kebijakan validasi koneksi XPC kamu sudah seketat mungkin. Pantau blog XM Cyber untuk writeup teknis lengkap, dan amati apakah respons Apple berupa security advisory atau revisi arsitektur yang diam-diam dalam rilis macOS mendatang. Perbedaan antara kedua hasil tersebut akan banyak mengungkapkan seberapa serius Cupertino memandang model kepercayaan yang mereka bangun.