Como funciona a falha descoberta no macOS?

A técnica abusa do mecanismo XPC, usado pelos componentes do macOS para se comunicar. Um aplicativo legítimo já aprovado pelo sistema recebe um arquivo NIB malicioso injetado em sua estrutura interna, passando a conversar com processos privilegiados como se fosse parte original do programa — sem precisar de senha de administrador nem explorar a memória.

Quais produtos foram afetados?

Os pesquisadores demonstraram o desligamento do agente de segurança CrowdStrike Falcon e a manipulação da ferramenta de gerenciamento Kandji (CVE-2026-39118). Ambas as empresas já lançaram correções para suas soluções.

Quem descobriu a falha e quando ela será detalhada?

A descoberta é da empresa de segurança XM Cyber, com destaque para o pesquisador Hillel Pinto, que criou a ferramenta de código aberto XPC Hunter. Os detalhes técnicos devem ser apresentados na conferência Black Hat US, em agosto de 2026.

Falha no macOS permite desativar antivírus corporativo sem senha de administrador

Uma nova pesquisa de segurança acendeu o alerta para empresas que usam Macs em larga escala. Especialistas da XM Cyber revelaram uma técnica capaz de desativar softwares de segurança corporativa no macOS sem precisar de senha de administrador, sem explorar falhas tradicionais de memória e, o mais preocupante, sem deixar os rastros que um antivírus normalmente detectaria. Em uma das demonstrações, o agente de proteção da linha Mac simplesmente foi desligado.

O truque não está em “quebrar” o sistema, mas em abusar de um comportamento legítimo dele. O macOS guarda em cache a verificação de assinatura digital de um aplicativo: depois que um programa confiável é aberto e validado, o sistema registra essa confiança e não reavalia tudo a cada nova ação. É justamente essa janela que a técnica explora — injetando um arquivo NIB malicioso dentro da estrutura interna de um app já aprovado, fazendo-o se comunicar com processos privilegiados como se fosse um componente original.

CrowdStrike e Kandji na linha de tiro

O coração do problema está no XPC, o canal de comunicação entre os componentes do macOS. Ao se passar por um app confiável, o código malicioso consegue enviar comandos a serviços que deveriam ser intocáveis. Nas provas de conceito, os pesquisadores conseguiram descarregar por completo o agente CrowdStrike Falcon — um dos softwares de segurança mais usados no mundo corporativo — e manipular a ferramenta de gerenciamento de dispositivos Kandji, falha que recebeu o identificador CVE-2026-39118.

A boa notícia é que as duas empresas foram avisadas com antecedência e já implementaram correções. O trabalho é assinado pela XM Cyber, com destaque para o pesquisador Hillel Pinto, que ainda desenvolveu uma ferramenta de código aberto chamada XPC Hunter para ajudar a identificar interfaces vulneráveis a esse tipo de abuso.

Por que isso importa

A descoberta é um lembrete de que segurança não é só sobre vírus chamativos: muitas vezes o risco mora em recursos legítimos do próprio sistema sendo usados de forma criativa por um atacante. Para o usuário doméstico, o impacto direto é baixo — o alvo aqui são ambientes corporativos com frotas de Macs gerenciadas remotamente. Ainda assim, vale a regra de sempre: manter o macOS e os aplicativos de segurança atualizados é o que fecha esse tipo de brecha assim que a correção sai.

Os detalhes técnicos completos da técnica devem ser apresentados na conferência Black Hat US, marcada para agosto, quando a comunidade de segurança deve esmiuçar o método e suas possíveis variações.

Macs à venda no Brasil: