macOS-Sicherheit: Forscher deaktivieren EDR-Tools ohne Admin-Rechte
25.06.2026 - 03:23:23 | boerse-global.de
Sicherheitsforscher haben eine Angriffstechnik entdeckt, die normale Nutzer ohne Admin-Rechte nutzen können, um Sicherheitssoftware auf dem Mac stillzulegen. Die am 24. Juni 2026 veröffentlichte Schwachstelle verknüpft mehrere legitime macOS-Funktionen, um Schutzmechanismen zu umgehen und Drittanbieter-Sicherheitslösungen zu deaktivieren – ohne Alarm auszulösen oder Kernel-Exploits zu benötigen.
Wie der Angriff funktioniert
Die von den Forschern bei XM Cyber identifizierte Methode nutzt Schwachstellen in der Kommunikation zwischen Prozessen (XPC) und sogenannten NIB-Datei-Injektionen aus. Durch Missbrauch des Kernel-Code-Signing-Trust-Cache kann ein Angreifer mit einfachen Benutzerrechten Endpoint Detection and Response (EDR)- und Mobile Device Management (MDM)-Tools entladen oder deaktivieren.
Im Kern manipuliert der Angriff die Vererbung von Prozessberechtigungen und nutzt schwach validierte XPC-Verbindungen aus. Die Forscher testeten die Methode erfolgreich gegen mehrere bekannte Sicherheitslösungen, darunter den CrowdStrike Falcon Sensor und Kandji MDM. Bei Kandji nutzte der Exploit eine Schwachstelle, die als CVE-2026-39118 registriert wurde.
Durch das Injizieren von Schadcode in NIB-Dateien – Ressourcendateien für Benutzeroberflächen – können Angreifer die Kontrolle über Prozesse mit hohen Berechtigungen übernehmen. Betroffen sind macOS-Versionen von Ventura bis zum aktuellen Sequoia-Release. Da der Exploit legitime Systemfunktionen statt klassischer Softwarefehler nutzt, benötigt er weder Admin-Anmeldedaten noch Kernel-Exploits.
Reaktionen der Hersteller
CrowdStrike hat als Reaktion auf die Erkenntnisse neue Erkennungsfunktionen implementiert und die Forscher belohnt. Kandji veröffentlichte einen Patch, der den spezifischen Fehler im MDM-Agenten behebt. Branchenberichte vom 24. Juni 2026 deuten darauf hin, dass Apple an Patches arbeitet und einige Korrekturen in kommende Beta-Updates eingeflossen sind. Allerdings vermuten einige Forscher, dass Apple die zugrundeliegende Architektur, die solche Angriffsketten erst ermöglicht, möglicherweise nicht grundlegend überarbeiten wird.
Der XM-Cyber-Forscher Hillel Pinto wird die vollständigen Ergebnisse im August 2026 auf der Black-Hat-US-Konferenz vorstellen und ein Open-Source-Tool namens XPC Hunter veröffentlichen.
Weitere Gefahren für macOS-Nutzer
Wer die neue XPC-Schwachstelle in macOS für sein Unternehmen bewerten will, findet in diesem kostenlosen Report die wichtigsten Schutzmaßnahmen – von Erkennung bis Härtung. Jetzt kostenlosen Sicherheits-Report anfordern
Die Offenlegung dieser Sicherheitslücke fällt mit anderen aktiven Bedrohungen für die Plattform zusammen. Bereits am 23. Juni 2026 identifizierten Sicherheitsanalysten eine neue "ClickFix"-Kampagne, die den Atomic macOS Stealer (AMOS) verbreitet. Diese Social-Engineering-Attacke nutzt gefälschte CAPTCHA-Seiten, um Nutzer zur Ausführung von Terminal-Befehlen zu verleiten. Diese laden im Hintergrund Datenträgerimages (DMGs) herunter und starten den Stealer, der Browser-Zugangsdaten, Krypto-Wallet-Daten und Keychain-Informationen abgreift.
Ebenfalls am 23. Juni 2026 wurde eine neue Rust-basierte Hintertür namens macOS.Gaslight gemeldet. Die mit nordkoreanischen Akteuren in Verbindung gebrachte Schadsoftware versucht, KI-gestützte Analysen zu umgehen. Sie bettet Dutzende gefälschte KI-Systemmeldungen ein, die Large Language Models (LLMs) dazu bringen sollen, ihre Scans abzubrechen. Die Malware stiehlt Zugangsdaten aus Terminal-Verläufen und Messaging-Apps und nutzt Telegram zur Steuerung.
Hardware-Schwachstelle bei älteren Apple-Geräten
Über Software-Exploits hinaus wurde am 23. Juni 2026 auch eine hardwarebezogene Schwachstelle für ältere Apple-Geräte veröffentlicht. Der "usbliter8"-Exploit umgeht den SecureROM auf Geräten mit A12- und A13-Chips, darunter das iPhone 11 und frühe Apple-Watch-Modelle. Der Angriff erfordert zwar physischen USB-Zugriff, zeigt aber einen anhaltenden Fehler in der Boot-Absicherung von Millionen älterer Geräte. Apple bestätigte, dass neuere Hardware ab dem A14-Chip nicht betroffen ist.
Bedrohung aus der KI-Lieferkette
Palo Alto Unit 42 berichtete am 23. Juni 2026 zudem von mehreren schädlichen Skills auf der ClawHub-Plattform. Diese "OpenClaw"-Skills, darunter macOS-spezifische Infostealer und Erkennungsvermeidungstools, konnten die initialen Sicherheitsprüfungen umgehen, bevor sie aus dem KI-Lieferketten-Repository entfernt wurden.
Ihre EDR-Agenten könnten bereits stillgelegt sein – ohne Alarm. Die aktuelle Angriffswelle gegen macOS nutzt XPC-Lücken, die auch CrowdStrike und Kandji betreffen. Dieser Report zeigt, wie Sie die Integrität Ihrer Sicherheitssoftware prüfen und Angriffe abwehren. EDR-Integritäts-Check jetzt sichern
Schutzmaßnahmen für Unternehmen
Sicherheitsexperten empfehlen Unternehmen, den Gesundheitsstatus ihrer EDR-Agenten zu überwachen und verfügbare macOS-Updates einzuspielen, um die spezifischen Schwachstellen zu schließen, die derzeit in Beta-Zyklen gepatcht werden.
