Vulnerabilidade crítica no Macos permite desativar antivírus corporativos sem autorização

Atualizado em 26 jun 2026

Uma descoberta recente no universo da cibersegurança acende um alerta para empresas e usuários de computadores macOS. Pesquisadores revelaram uma falha que permite a qualquer usuário comum desativar silenciosamente softwares de segurança corporativa, sem a necessidade de uma senha de administrador, exploração de falhas no núcleo do sistema ou deixar rastros óbvios. A revelação, que impacta diretamente a proteção de dados e sistemas, foi feita pela empresa de segurança XM Cyber e afeta ferramentas amplamente utilizadas em ambientes empresariais.

A gravidade da situação reside na capacidade de um atacante, com acesso básico a uma máquina, de neutralizar defesas essenciais. Isso abre portas para ameaças internas ou para a escalada de ataques que já conseguiram um ponto de entrada inicial, colocando em risco informações sensíveis e a integridade da infraestrutura de TI.

A complexidade da comunicação XPC e a brecha de segurança

Para compreender a natureza desta vulnerabilidade, é fundamental entender como o macOS gerencia a comunicação entre os componentes de seus aplicativos. Muitos programas são divididos em duas partes: uma interface visível, com a qual o usuário interage, e um processo em segundo plano que opera com privilégios elevados, capaz de executar ações mais sensíveis no sistema.

A comunicação entre essas duas partes ocorre por meio de um mecanismo chamado XPC, um canal interno que permite a troca de mensagens entre componentes de um mesmo aplicativo. O processo privilegiado, que detém maior autoridade, confia nas mensagens recebidas, desde que elas venham de um componente com a assinatura digital correta. O ponto crítico descoberto pela XM Cyber é que o macOS armazena essa verificação de assinatura em um cache temporário. Após a primeira validação de um aplicativo legítimo, o sistema registra essa confiança e não a reavalia imediatamente, criando uma janela de oportunidade para a exploração.

Como a desativação de segurança é orquestrada

O método de ataque é engenhoso e explora essa lacuna de confiança. Um atacante, mesmo com acesso a uma conta de usuário comum no computador, inicia um aplicativo legítimo e devidamente assinado. Este passo faz com que o sistema registre a assinatura do processo como confiável no cache.

Em seguida, o atacante modifica a estrutura interna do aplicativo para injetar um arquivo de interface malicioso, conhecido como NIB. Este processo modificado passa a operar dentro do contexto de confiança do aplicativo original. Dessa forma, ele consegue se comunicar com o processo privilegiado em segundo plano como se fosse um componente legítimo, sem a necessidade de qualquer autenticação adicional. Com esse acesso, o código malicioso pode invocar funções sensíveis que os próprios softwares de segurança expõem internamente, como desligar extensões do sistema ou encerrar agentes de monitoramento, resultando na desativação do software de proteção.

Impacto em ferramentas de segurança e as respostas dos fabricantes

A XM Cyber demonstrou a eficácia da técnica contra ferramentas de segurança reais. No caso do Falcon, da CrowdStrike, os pesquisadores conseguiram descarregar completamente o agente de segurança a partir de uma conta comum, interrompendo a detecção de ameaças, o monitoramento de processos e a visibilidade de rede. A CrowdStrike confirmou a descoberta, recompensou o pesquisador e implementou proteções e detecções em todas as versões suportadas do sensor para macOS.

A ferramenta de gerenciamento de dispositivos da Kandji também foi afetada, com os pesquisadores conseguindo desativar permanentemente o agente em duas etapas, eliminando as proteções e encerrando a extensão de segurança do sistema. A Kandji prontamente corrigiu o problema, e a vulnerabilidade recebeu o identificador CVE-2026-39118. É importante ressaltar que a técnica não utiliza exploração de memória nem instala arquivos suspeitos, abusando de um comportamento legítimo do próprio sistema operacional. Isso a torna particularmente perigosa, pois não aciona as assinaturas típicas de ataques e não deixa entradas óbvias nos registros de eventos do sistema.

A solução já existe e o cenário atual de proteção

A boa notícia é que o próprio macOS já oferece uma solução para essa vulnerabilidade desde a versão 13 do sistema. Desenvolvedores podem implementar uma verificação da identidade real do comunicador XPC no início da conexão, em vez de confiar apenas na assinatura em cache. Hillel Pinto, o pesquisador da XM Cyber responsável pela descoberta, também desenvolveu uma ferramenta de código aberto chamada XPC Hunter, que varre aplicativos instalados no Mac em busca de interfaces XPC vulneráveis a esse tipo de ataque. A ferramenta será apresentada na conferência de segurança Black Hat US, em agosto.

Embora os fabricantes citados já tenham corrigido o problema em seus produtos, o risco mais amplo persiste em outros aplicativos macOS que ainda expõem interfaces XPC privilegiadas sem a devida validação. A conscientização e a aplicação das melhores práticas de desenvolvimento são cruciais para mitigar essa ameaça. Para mais detalhes sobre segurança digital, você pode consultar fontes como o TecMundo.

Você encontra mais notícias em nosso site www.sobralonline.com.br e redes sociais. Siga-nos em @SobralOnline para ficar por dentro das últimas novidades!