1. Home
  2. Tecnologia
  3. Vulnerabilidade no macOS permite desativar antivírus sem precisar da senha de administrador.

Vulnerabilidade no macOS permite desativar antivírus sem precisar da senha de administrador.

Posted by alertaroraima on junho 26, 2026.
Vulnerabilidade no macOS permite desativar antivírus sem precisar da senha de administrador.

Pesquisa divulgada nesta semana revelou que um usuário comum de um computador com macOS pode desativar silenciosamente soluções de segurança corporativa. O procedimento pode ser realizado sem senha de administrador, sem explorar falhas no kernel do sistema e sem deixar sinais óbvios.

A descoberta foi feita pela empresa de segurança XM Cyber e atinge produtos amplamente usados em ambientes corporativos, como ferramentas de detecção de ameaças e de gerenciamento de dispositivos.

smart_display

Vídeos em destaque

O que é o XPC

Para compreender a vulnerabilidade, é preciso conhecer como o macOS estrutura seus aplicativos. Muitos programas são compostos por duas partes: a interface visível, com a qual o usuário interage, e um processo em segundo plano com privilégios elevados, capaz de executar ações mais sensíveis no sistema.

A falha foi testada no macOS e atinge aplicativos que usam XPC para comunicação entre componentes, um padrão amplamente adotado na plataforma Apple.

As duas partes trocam mensagens por um mecanismo chamado XPC — um canal interno que permite a comunicação entre componentes de um mesmo aplicativo. O processo privilegiado confia nas mensagens desde que elas venham de um componente com a assinatura digital correta.

O problema é que o macOS mantém essa verificação de assinatura em um cache temporário. Depois que um aplicativo legítimo é aberto e sua assinatura é confirmada, o sistema registra essa confiança e não a revalida imediatamente. A XM Cyber mostrou que é possível explorar exatamente essa janela.

Como o ataque funciona na prática

Um atacante com acesso a uma conta comum no computador abre primeiro um aplicativo legítimo e assinado, fazendo com que o sistema passe a confiar naquele processo. Em seguida, o invasor modifica a estrutura interna do aplicativo para injetar um arquivo de interface malicioso, conhecido como NIB.

amazon-celular-aplicativo-compra-remédios
O ataque não exige senha de administrador nem exploração de memória — basta uma conta comum e acesso físico ao dispositivo

O processo alterado passa a rodar no contexto de confiança do aplicativo original e, a partir daí, comunica-se com o processo privilegiado em segundo plano como se fosse um componente legítimo, sem necessidade de autenticação adicional.

Com esse acesso, o código malicioso pode invocar funções sensíveis que os próprios softwares de segurança oferecem internamente, como desativar extensões do sistema ou encerrar agentes de monitoramento. Assim, o software de segurança pode se desligar sozinho por confiar na origem das solicitações.

Produtos afetados e respostas dos fabricantes

A XM Cyber testou a técnica em ferramentas reais. No caso do Falcon, da CrowdStrike, os pesquisadores conseguiram descarregar completamente o agente de segurança a partir de uma conta comum, interrompendo a detecção de ameaças, o monitoramento de processos e a visibilidade de rede. 

Foto de uma pessoa segurando celular com ícone de ameaça sobre ele.
A técnica permite desativar silenciosamente ferramentas de segurança corporativa sem deixar rastros nos registros de eventos do sistema.

A CrowdStrike confirmou a descoberta, informou que pagou uma recompensa ao pesquisador e implementou proteções e detecções em todas as versões suportadas do sensor para macOS.

A ferramenta de gerenciamento de dispositivos Kandji também foi afetada. Os pesquisadores conseguiram desativar permanentemente o agente em duas etapas, removendo as proteções e encerrando a extensão de segurança do sistema. A Kandji corrigiu a falha, que recebeu o identificador CVE-2026-39118.

A técnica não explora memória nem instala arquivos suspeitos. Em vez disso, ela abusa de um comportamento legítimo do sistema operacional, o que faz com que não acione assinaturas típicas de ataque e não gere entradas óbvias nos logs.

Isso torna o método particularmente preocupante em cenários de ameaça interna ou quando um invasor já obteve acesso inicial ao sistema.

lupa-na-frente-de-um-notebook
Pesquisadores da XM Cyber mapearam interfaces XPC vulneráveis em aplicativos macOS instalados para demonstrar o alcance da falha de verificação de confiança.

A correção existe e é simples

A XM Cyber ressalta que o próprio macOS fornece a solução desde a versão 13. Desenvolvedores podem verificar a identidade real de quem se conecta via XPC no início da conexão, em vez de confiar apenas na assinatura presente no cache.

Hillel Pinto, pesquisador da XM Cyber responsável pela descoberta, também criou uma ferramenta de código aberto chamada XPC Hunter. Ela varre os aplicativos instalados no Mac em busca de interfaces XPC vulneráveis a esse tipo de ataque. A ferramenta será apresentada na conferência Black Hat US, em agosto.

Com os fabricantes citados já tendo lançado correções, o risco maior permanece em outros aplicativos macOS que ainda expõem interfaces XPC privilegiadas sem validação adequada.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e no canal do YouTube.

Post Views: 5

Posts relacionados

Plugin WordPress Cookie by Real Cookie Banner
scroll to top