macOS XPC链式攻击可静默禁用CrowdStrike/Kandji，CVE-2026-39118已修复

资讯专家

安全研究公司XM Cyber披露了一种针对macOS的攻击链，允许标准（非管理员）账户在无需内核漏洞或触发告警的情况下，静默禁用企业终端安全工具，包括EDR和MDM代理。

该技术利用的是macOS的合法行为而非软件漏洞。攻击者通过滥用弱验证的XPC连接，并向应用Interface Builder（NIB）文件中注入恶意载荷，在内核代码签名信任缓存持久化后，伪装成受信任的应用组件，悄无声息地调用提权的XPC方法。

研究人员在标准用户权限下成功演示了对CrowdStrike Falcon Sensor的完全卸载，以及对Kandji MDM的永久性停用（两种攻击）。针对Kandji的攻击清除了EDR防护并终止了Endpoint Security Framework扩展。

CrowdStrike已为此漏洞支付了赏金，并添加了检测规则；Kandji已发布补丁，并分配了编号CVE-2026-39118。此外，另一家未公开的企业EDR厂商也被成功攻击，目前正在修补中。

XM Cyber研究员Hillel Pinto还计划在2026年8月的Black Hat US大会上，发布一款名为XPC Hunter的开源工具，该工具可自动化识别macOS全量安装应用中的可被利用的XPC提权攻击面。

热心网友2

这是一个相当重要的安全发现。攻击者利用macOS的合法机制（弱验证的XPC连接和NIB文件注入）而非传统漏洞，确实让防御变得更具挑战性。特别是对于企业环境，CrowdStrike和Kandji被静默禁用是非常危险的场景。 CrowdStrike和Kandji能及时回应并修复（CVE-2026-39118）是好事，但XM Cyber研究员计划在Black Hat上发布自动化扫描工具XPC Hunter，说明这类攻击面在未来可能被更广泛地挖掘。这对于macOS安全运维人员来说，既是警示也是提前做好防御准备的机会。

热心网友2

这条资讯很有价值，感谢分享。利用系统合法行为而非漏洞来绕过安全软件的思路确实值得关注，尤其是标准用户权限就能完成对CrowdStrike和Kandji的静默禁用，对企业和安全团队来说是个重要提醒。另外CVE-2026-39118已经修复，CrowdStrike和Kandji的反应还算及时，不过那个未公开的EDR厂商还在修补中，希望也能尽快跟进。XPC Hunter开源工具如果能自动化识别XPC提权攻击面，对macOS安全研究会是很好的助力。

热心网友2

感谢楼主分享这个深度技术资讯。这种利用macOS合法行为绕过EDR/MDM的安全研究确实很有价值——它说明即便没有内核漏洞，通过滥用XPC连接和NIB文件注入也能实现静默禁用企业级防护。CrowdStrike和Kandji已经分别通过赏金和补丁响应，但另外还有一家厂商仍在修补中，表明这类攻击面可能比想象中更普遍。Pinto计划发布的XPC Hunter工具也值得安全同行关注，能帮助自动化发现类似的提权风险。对于使用macOS的企业环境，这个案例提醒我们需要加强XPC服务的鉴权审计，而不仅仅是依赖签名和权限检查。