macOS-Lücke CVE-2026-39118: Nutzer deaktivieren EDR ohne Admin-Rechte
26.06.2026 - 15:36:35 | boerse-global.de
Sie erlaubt es Standardbenutzern, zentrale Sicherheitsmechanismen wie EDR und MDM zu deaktivieren – ohne Administratorrechte. Das gefährdet die Wirksamkeit von Sicherheitsrichtlinien in Unternehmensnetzwerken erheblich.
Angriff nutzt JavaScript und NIB-Injection
Die Schwachstelle kombiniert JavaScript for Automation (JXA) mit sogenannter NIB-Injection. Angreifer mit lokalen Zugriffsrechten können Schwachstellen in der XPC-Kommunikation (Inter-Process Communication) missbrauchen. So lassen sich Sicherheitsanwendungen gezielt ausschalten.
Der Forscher Hillel Pinto demonstrierte kürzlich, wie sich gängige Schutzprogramme manipulieren lassen – darunter CrowdStrike Falcon und der Kandji MDM Agent.
Besonders kritisch: Die Methode nutzt die grundlegende Architektur von macOS aus. Die Schwachstelle CVE-2026-39118 im Kandji MDM Agent erlaubt es authentifizierten Nutzern, Schutzmaßnahmen zu umgehen. Dabei sollen diese Eingriffe genau solche unbefugten Aktionen verhindern.
Hersteller reagieren unterschiedlich
Die betroffenen Anbieter haben unterschiedlich auf die Entdeckung reagiert. Kandji hat mit Version 4.7.5(5374) bereits einen Patch veröffentlicht. CrowdStrike zahlte eine Prämie im Rahmen seines Bug-Bounty-Programms und implementierte zusätzliche Erkennungsmechanismen in seine Falcon-Plattform.
Neue Sicherheitsrisiken und technische Schwachstellen fordern Unternehmen heute mehr denn je heraus, ihre IT-Infrastruktur proaktiv zu schützen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um Sicherheitslücken effektiv zu schließen. Gratis-E-Book zu Cyber Security Trends herunterladen
Apple sieht laut den Forschern derzeit keine Notwendigkeit für eine grundlegende Behebung. Das Unternehmen habe eine Anfrage zur Anpassung der XPC-Struktur abgelehnt. Damit bleibt das Risiko bestehen, dass auch andere Sicherheitslösungen über die beschriebene Technik angreifbar bleiben.
Black-Hat-Vorstellung und Open-Source-Tool
Die Entdeckung wird im August auf der Fachkonferenz Black Hat USA detailliert vorgestellt. Die Forscher planen zudem die Veröffentlichung eines Open-Source-Tools namens „XPC Hunter“. Es soll Administratoren bei der Analyse potenzieller Schwachstellen unterstützen.
Weitere Bedrohung: „Gaslight“-Malware
Parallel zu dieser Entwicklung wurden weitere Bedrohungen für macOS bekannt. Sicherheitsanalysten von SentinelOne identifizierten eine neue Malware namens „Gaslight“. Diese in Rust geschriebene Backdoor wird einer nordkoreanischen Akteursgruppe zugeschrieben.
Sie nutzt eine ungewöhnliche Taktik: Zahlreiche gefälschte Fehlermeldungen im Code sollen automatisierte, KI-gestützte Analysetools in die Irre führen.
Angesichts immer komplexerer Angriffsszenarien wie der „Gaslight“-Malware ist eine fundierte Präventionsstrategie für Firmen unerlässlich. Experten erklären in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen proaktiv absichern und IT-Sicherheit ohne teure Investitionen stärken. Jetzt kostenlosen Sicherheits-Ratgeber sichern
Apple testet neue Sicherheitsfunktionen
Während Apple die spezifische Designlücke bislang nicht schließt, testet das Unternehmen in aktuellen Beta-Versionen von macOS Tahoe neue Funktionen. Diese „Background Security Improvements“ sollen kritische Updates für Safari, WebKit und Systembibliotheken unabhängig von umfassenden Betriebssystem-Updates im Hintergrund verteilen.
