Una falla in macOS permette di disattivare strumenti di sicurezza senza credenziali admin
Una vulnerabilità macOS scoperta dalla società di sicurezza XM Cyber sta facendo discutere parecchio nel mondo della cybersecurity. Il punto è tanto semplice quanto preoccupante: un account utente standard, quindi senza privilegi di amministratore, potrebbe riuscire a disabilitare alcuni strumenti di protezione aziendale sfruttando canali di comunicazione considerati affidabili dal sistema operativo Apple.
La ricerca si concentra su quei meccanismi interni di macOS che gestiscono la comunicazione tra processi, canali che il sistema considera “di fiducia” e che, proprio per questo, possono diventare un punto debole se qualcuno sa come manipolarli. I ricercatori hanno già confermato attacchi riusciti contro soluzioni di sicurezza piuttosto note come CrowdStrike Falcon e Kandji, due nomi che nel settore enterprise pesano parecchio.
Come funziona la tecnica e perché conta davvero
Va detto subito: non si tratta di un attacco remoto. Chi volesse sfruttare questa tecnica di attacco dovrebbe prima ottenere accesso a un account utente standard sul Mac preso di mira. Questo dettaglio riduce oggettivamente la superficie di rischio, ma sarebbe un errore liquidare la cosa come irrilevante. Nel mondo reale, gli attaccanti che riescono a mettere piede su un sistema fanno esattamente questo: cercano di spegnere i software di monitoraggio prima di muoversi lateralmente nella rete o scavare più a fondo nel dispositivo compromesso.
Ecco perché la possibilità di disabilitare tool di sicurezza enterprise senza nemmeno avere credenziali admin rappresenta un problema serio per chi gestisce flotte di Mac in ambito aziendale. La vulnerabilità macOS descritta da XM Cyber tocca un nervo scoperto: la fiducia implicita che il sistema operativo accorda a determinati canali di comunicazione interni.
La presentazione a Black Hat e lo strumento open source
I dettagli completi della ricerca verranno mostrati durante una presentazione al Black Hat Arsenal prevista per agosto, dove il team di XM Cyber dimostrerà dal vivo uno strumento open source chiamato XPC Hunter. Questo tool è pensato proprio per analizzare e individuare potenziali punti deboli nei canali XPC di macOS, offrendo a ricercatori e professionisti della sicurezza un modo concreto per verificare l’esposizione dei propri sistemi.
Il fatto che XM Cyber abbia scelto di rendere pubblico lo strumento e di divulgare la ricerca prima della conferenza dice molto sull’approccio: mettere la community in condizione di capire il problema e, possibilmente, di proteggersi. Per le aziende che utilizzano Mac come dispositivi principali, questa è una di quelle notizie che vale la pena seguire con attenzione nei prossimi mesi.
