Apple’ın macOS işletim sisteminde, standart kullanıcı hesaplarının yönetici yetkisi olmadan kurumsal güvenlik araçlarını devre dışı bırakmasına imkan tanıyan ciddi bir güvenlik açığı keşfedildi. XM Cyber tarafından ortaya çıkarılan yöntem, özellikle kurumsal Mac ağları için yeni bir risk oluşturdu.
Siber güvenlik dünyasında dikkat çeken yeni açık, macOS işletim sistemini kullanan cihazlarda güvenlik duvarının ve uç nokta koruma yazılımlarının etkisiz hale getirilebilmesine yol açabiliyor. Güvenlik firması XM Cyber, standart kullanıcı hesaplarının herhangi bir yönetici yetkisine ihtiyaç duymadan bazı güçlü güvenlik araçlarını devre dışı bırakabildiğini açıkladı.
Yönetici yetkisi olmadan güvenlik sistemi aşılabiliyor
Keşfedilen yöntemi kritik hale getiren en önemli detay, saldırganların sistemde kök ya da yönetici yetkisine sahip olmasına gerek kalmaması oldu. Araştırmacılar, bu yöntemi kullanarak kurumsal dünyada yaygın olarak tercih edilen CrowdStrike Falcon ve Kandji gibi güvenlik çözümlerinin etkisiz hale getirilebildiğini belirledi.
Açığın doğrudan uzaktan yürütülen bir saldırı olmadığı, ancak hedef Mac cihazında standart bir kullanıcı hesabı ele geçirilmesi halinde saldırganların bu yöntemi kullanarak güvenlik araçlarını devre dışı bırakabileceği ifade edildi. Böylece saldırganlar, sistem içinde daha derin hareket etmeden önce kendilerini tespit edebilecek izleme ve koruma mekanizmalarını görünmez hale getirebiliyor.
Apple’ın XPC altyapısı hedefte
Saldırının merkezinde, macOS uygulamaları ile arka plan servisleri arasında güvenli iletişim kurulmasını sağlayan Apple’ın XPC altyapısı yer alıyor. Normal şartlarda bu sistem, uygulamaların sisteme güvenli şekilde komut iletmesini ve yetki gerektiren işlemleri yönetmesini sağlıyor.
XM Cyber araştırmacılarına göre bazı yazılım geliştiricileri, hassas XPC işlemlerinde kod imzalama güvenine aşırı derecede bağlı kalıyor. Bu durum, saldırganların güven ilişkisini kötüye kullanmasına zemin hazırlıyor.
Saldırı sürecinde kullanıcı, Apple tarafından imzalanmış meşru bir uygulamayı başlatıyor. macOS, bu uygulamanın güven bilgisini sistemde önbelleğe alıyor. Daha sonra saldırgan, uygulama paketinin bazı bölümlerini kötü amaçlı kodla değiştirse bile sistemdeki güven ilişkisi önbellek nedeniyle korunmaya devam ediyor.
Bu sayede standart kullanıcı hesabı, normalde yalnızca üst düzey güvenli bileşenlere açık olması gereken ayrıcalıklı XPC yöntemlerini tetikleyerek güvenlik yazılımını durdurabiliyor ya da sistemden kaldırabiliyor.
İlk yama Kandji’den geldi
Araştırmacılar, söz konusu yöntemin çalışması için macOS çekirdeğine yönelik bir istismara ya da Sistem Bütünlüğü Koruması’nın aşılmasına gerek olmadığını belirtti. Bulguların ardından kurumsal yönetim platformu Kandji, kendi sistemindeki açığı yamaladı. Zafiyet, CVE-2026-39118 koduyla kayıtlara geçti.
Gözler diğer güvenlik üreticilerine çevrilirken, Apple cephesinden henüz resmi bir güvenlik danışma belgesi yayımlanmadı.
XPC Hunter aracı tanıtılacak
XM Cyber araştırmacılarının bu güvenlik açığına ilişkin detayları, Ağustos 2026’da Las Vegas’ta düzenlenecek Black Hat Arsenal etkinliğinde paylaşması bekleniyor. Araştırma kapsamında, benzer açıkların tespit edilmesine yardımcı olacak “XPC Hunter” adlı açık kaynaklı bir aracın da kamuoyuna duyurulacağı bildirildi.
Mac kullanıcıları ne yapmalı?
Uzmanlara göre bu yöntemin kullanılabilmesi için saldırganın cihazda fiziksel erişime ya da oturum bazlı kullanıcı erişimine sahip olması gerekiyor. Bu nedenle hem bireysel kullanıcıların hem de kurumların hesap güvenliğini artırması büyük önem taşıyor.
Kullanıcıların çok faktörlü kimlik doğrulamayı aktif hale getirmesi, güçlü ve tahmin edilmesi zor parolalar kullanması, macOS işletim sistemi ile güvenlik yazılımlarını güncel tutması öneriliyor. Özellikle MDM ve uç nokta koruma çözümlerinin en güncel sürümlerinin kullanılması, kurumsal Mac ağlarında riski azaltan en önemli adımlar arasında yer alıyor.
