Kurumsal Mac Ağlarında Deprem: Standart Kullanıcılar Güvenlik Duvarını İndirebiliyor!
Siber güvenlik dünyası, Apple’ın işletim sistemi macOS'i ve kurumsal ağları derinden sarsacak yeni bir güvenlik açığı haberiyle çalkalanıyor. Önde gelen güvenlik firmalarından XM Cyber, siber saldırganların veya standart yetkilere sahip yerel kullanıcıların, hiçbir yönetici (admin/root) şifresine ihtiyaç duymadan cihazdaki en güçlü kurumsal koruma yazılımlarını tamamen devre dışı bırakabileceğini kanıtladı.
24 Haziran 2026 itibarıyla detayları paylaşılan bu teknik; siber güvenlik devleri CrowdStrike Falcon ve Kandji gibi Uç Nokta Tehdit Algılama (EDR) ile Mobil Cihaz Yönetimi (MDM) ajanlarına karşı başarıyla simüle edildi. Üstelik bu işlem gerçekleştirilirken macOS’in en katı savunma mekanizmaları olan Çekirdek (Kernel) istismarına veya Sistem Bütünlüğü Koruması (SIP) bypass'ına bile gerek duyulmadı. İşte kurumsal Mac dağıtımlarını alarma geçiren tehlikeli açığın perde arkası:
Tehlikenin Kaynağı: Apple'ın Güven Önbelleği (XPC) Hedefte
Söz konusu siber saldırı yöntemi, doğrudan dışarıdan (uzaktan) yapılan bir hack girişimi değil. Saldırganın öncelikle hedef Mac bilgisayarda standart, sıradan bir kullanıcı hesabına erişim sağlamış olması gerekiyor. Ancak asıl tehlike bu aşamadan sonra başlıyor. Normal şartlarda izleme ve güvenlik araçlarını silmeye yetkisi olmayan bu standart hesap, Apple'ın sistem içi iletişim mimarisini manipüle ediyor:
-
XPC ve CDHash Açığı: macOS sisteminde uygulamaların ve arka plan servislerinin birbiriyle konuşmasını sağlayan XPC mimarisi ile uygulamaların orijinalliğini doğrulayan CDHash (kriptografik imza) mekanizması hedef alınıyor.
-
İmza Taklidi Yapılıyor: Kullanıcı meşru ve Apple tarafından imzalanmış güvenli bir uygulamayı başlattığında, macOS bu uygulamanın güven parmak izini önbelleğe alıyor. Araştırmacılar, sisteme sızan bir kullanıcının, bu "güven ilişkisi" önbellekte korunurken uygulamanın paket içerisindeki bazı bölümleri (NIB dosyalarını) kötü amaçlı yazılımla değiştirebildiğini keşfetti.
-
Sinsice Kapatma: Sistem, manipüle edilmiş bu uygulamayı hâlâ tamamen güvenli algıladığı için, standart kullanıcının normalde erişemeyeceği en üst düzey XPC komutlarını çalıştırmasına izin veriyor. Sonuç olarak saldırgan, CrowdStrike Falcon sensörünü tamamen yükten kaldırabiliyor veya Kandji'nin koruma kalkanlarını tek bir uyarı tetiklemeden kapatabiliyor.
Kandji Yamayı Yayınladı: CVE-2026-39118 Devrede
XM Cyber, bulgularını kamuoyuyla paylaşmadan önce etkilenen taraflara bildirdi. Cihaz yönetim devi Kandji, hızlı bir refleks göstererek söz konusu istemci doğrulama açığını kapattı ve yayınladığı güncelleme ile hataya CVE-2026-39118 kodunu atadı. Şirket, kurumsal Mac yöneticilerinin acilen ajan yazılımlarını v4.7.5 ve üzerine yükseltmelerini tavsiye ediyor. CrowdStrike cephesinde ise güvenlik ekibiyle koordinasyonun sürdüğü ve gerekli tespit mekanizmalarının devreye alındığı bildirildi.
Apple ise konunun doğrudan işletim sisteminin mimarisindeki bir mantık hatasından (güven önbelleğinin işleyiş biçiminden) kaynaklandığı iddialarına karşı henüz resmi bir güvenlik bülteni veya yama takvimi yayınlamadı.
"XPC Hunter" Ağustos Ayında Black Hat'te Sahneye Çıkacak
XM Cyber kıdemli güvenlik araştırmacısı Hillel Pinto, bu tehlikeli yöntemin sadece iki marka ile sınırlı olmadığını, macOS ekosisteminde XPC kullanan yüzlerce kurumsal uygulamayı etkileyebileceğini belirtiyor. Şirket, sistem yöneticilerinin kendi altyapılarındaki bu tarz XPC açıklarını tespit edebilmeleri için yapay zeka destekli, açık kaynaklı bir keşif aracı olan XPC Hunter'ı geliştirdi. Bu araç, 5 Ağustos 2026 tarihinde Las Vegas'ta düzenlenecek prestijli Black Hat Arsenal etkinliğinde tüm dünyaya ücretsiz olarak sunulacak ve teknik detaylar canlı olarak gösterilecek.
