ثغرة أمنية جديدة في نظام macOS تتيح للمستخدمين العاديين تعطيل دفاعات الشركات

تتيح ثغرة أمنية مكتشفة حديثاً في نظام macOS للمهاجمين الذين يمتلكون حسابات مستخدمين عادية تعطيل أدوات حماية نقاط النهاية المخصصة للشركات دون الحاجة إلى صلاحيات المسؤول. وحددت شركة الأبحاث الأمنية XM Cyber تقنية تستغل إطار عمل الاتصالات XPC الخاص بشركة Apple، مما مكنها من تجاوز الدفاعات في منصات واسعة الانتشار مثل CrowdStrike Falcon ومنصة Kandji.

تتمحور الثغرة حول كيفية تحقق تطبيقات macOS من الطلبات المرسلة إلى خدمات الخلفية ذات الصلاحيات العالية. يمكن للمهاجمين الذين ينجحون في الوصول الأولي إلى حساب مستخدم عادي تعديل أجزاء من حزمة تطبيق شرعي وموقّع برمجياً باستخدام حمولة خبيثة. ونظراً لأن نظام macOS يحتفظ بالبصمة الموثوقة للتطبيق في ذاكرة التخزين المؤقت (Cache) عند تشغيله، فإن الحمولة المعدلة ترث هذه الثقة، مما يسمح لها باستدعاء طرق XPC ذات الصلاحيات.

ومكّنت سلسلة الاستدعاءات هذه الباحثين من إيقاف مستشعر الأمان الخاص بمنصة CrowdStrike Falcon وتعطيل حمايات إلغاء التثبيت في منصة Kandji. والجدير بالذكر أن أياً من العرضين لم يتطلب استغلال النواة (Kernel Exploit) أو تجاوز ميزة حماية تكامل النظام (System Integrity Protection)، مما يجعل الهجوم فعالاً للغاية بمجرد تحقيق الوصول المحلي.

نظراً لأن الهجوم يتطلب وصولاً محلياً أولياً إلى جهاز Mac المستهدف، يجب على المؤسسات إعطاء الأولوية لتأمين حسابات المستخدمين العادية لمنع بدء سلسلة الاستغلال.

• تحديث برامج إدارة نقاط النهاية فوراً؛ حيث قامت منصة Kandji بالفعل بتصحيح الثغرة وتخصيص المعرّف CVE-2026-39118 لها.
• فرض سياسات صارمة للمصادقة متعددة العوامل (MFA) وكلمات المرور القوية لمنع اختراق الحساب الأولي المطلوب لتنفيذ هذا الاستغلال.
• مراقبة إرشادات الموردين عن كثب، حيث لم تصدر شركة Apple حتى الآن تحذيراً أمنياً مستقلاً أو تصحيحاً على مستوى نظام التشغيل لمعالجة سلوك التخزين المؤقت للثقة في إطار عمل XPC.

يكشف هذا الاكتشاف عن خلل جوهري في كيفية تعامل بيئات عمل أجهزة Mac في الشركات مع موثوقية التطبيقات الداخلية. فمن خلال الاعتماد بشكل أساسي على فحوصات التوقيع البرمجي بدلاً من التحقق المستمر من سلامة المستدعي، حوّل المطورون إطار عمل XPC الخاص بشركة Apple إلى سطح هجوم فعّال دون قصد.

ورغم أن مسارعة منصة Kandji لتصحيح الثغرة CVE-2026-39118 تُعد خطوة إيجابية، إلا أن التداعيات الأوسع تشير إلى أن أي أداة أمان في نظام macOS تعتمد على بصمات الثقة المخزنة مؤقتاً تظل عرضة للخطر. ومع استمرار أجهزة Mac في الاستحواذ على حصة أكبر من سوق الشركات، سيُجبر موردو برامج الأمان على إعادة هيكلة بروتوكولات التحقق من XPC الخاصة بهم قبل أن تطلق شركة XM Cyber أداتها مفتوحة المصدر XPC Hunter في مؤتمر Black Hat Arsenal القادم في أغسطس.