Хакеры нашли новый способ отключить защиту Mac: угроза для пользователей

Исследователи XM Cyber обнаружили уязвимость в macOS, которая позволяет обычным пользователям (без прав администратора) отключать корпоративные средства защиты, такие как CrowdStrike и Kandji. Это не требует сложных эксплойтов ядра и оставляет мало следов.

В конце июня 2026 года специалисты по кибербезопасности из компании XM Cyber раскрыли новую технику атаки на компьютеры Mac, обеспокоен xrust. Она позволяет обойти встроенные механизмы доверия macOS и отключать профессиональное ПО безопасности. Это открытие особенно актуально для российских пользователей и компаний, активно использующих технику Apple в корпоративной среде.

В чём суть уязвимости?

Исследователи обнаружили проблему в системе доверия приложений (trust relationships) операционной системы macOS. Атакующий, уже имеющий доступ к компьютеру (через фишинг, вредоносную ссылку или физический доступ), может установить легитимное подписанное приложение. После того, как macOS сохранит в кэше его «отпечаток доверия» (CDHash), злоумышленник модифицирует пакет приложения, добавляя вредоносный код.

Система продолжает доверять приложению, что позволяет вызывать привилегированные функции через XPC (механизм межпроцессного взаимодействия). В результате удаётся отключить датчики безопасности, такие как CrowdStrike Falcon Sensor или агенты MDM-системы Kandji, без ввода пароля администратора и без обхода System Integrity Protection (SIP) — ключевой защиты macOS.

Инструмент XM Hunter, разработанный XM Cyber как proof-of-concept, демонстрирует эту технику. Его представят на конференции Black Hat в августе 2026 года. Инструмент также поможет сканировать уязвимые приложения.

Реакция вендоров

CrowdStrike быстро отреагировала: выпустила обновления с дополнительными обнаружениями и предотвращениями. Компания подтвердила, что техника эксплуатирует проблему macOS, и теперь их сенсор лучше защищён. Kandji также внесла правки и зарегистрировала связанную уязвимость как CVE-2026-39118. Apple на момент публикации публично не прокомментировала находку, хотя исследователи уведомили компанию.

Для российских пользователей это значит, что даже с установленным корпоративным антивирусом Mac может оказаться уязвимым, если ПО не обновлено.

Как защититься?

Эксперты дают простые, но эффективные рекомендации, понятные даже новичкам:

• Устанавливайте приложения только из официальных источников. Лучше всего — Mac App Store или напрямую с сайтов разработчиков. Избегайте сторонних торрентов и «бесплатных» сборок.
• Включайте автоматические обновления macOS. Apple регулярно выпускает патчи безопасности.
• Будьте осторожны с фишингом. Не открывайте вложения и ссылки из подозрительных писем или сообщений. В России популярны атаки под видом поддержки банков или «техподдержки Apple».
• Используйте дополнительные средства. Для домашнего использования подойдут проверенные антивирусы с модулем для macOS (например, Kaspersky, ESET). В корпоративной среде — своевременное обновление MDM и EDR-решений.
• Проверяйте настройки Gatekeeper и XProtect — встроенные инструменты Apple, блокирующие неподписанное ПО.

По данным экспертов, такая атака требует первоначального доступа к устройству, поэтому базовая цифровая гигиена остаётся главным барьером.

Почему это важно для России?

Mac всё чаще используют в бизнесе — от дизайнеров и разработчиков до крупных компаний. Хотя macOS традиционно считается более защищённой, чем Windows, новые исследования показывают, что идеальной защиты нет. В условиях роста киберугроз (включая целевые атаки на российские организации) важно следить за обновлениями.

XM Cyber подчёркивает: проблема кроется в самой macOS, поэтому разработчикам приложений нужно тщательнее проверять вызывающие процессы, а не полагаться только на кэшированную подпись.

Следите за обновлениями Apple и вендоров безопасности. Лучшая защита — осознанное поведение и актуальное ПО. Если у вас Mac — проверьте систему на обновления прямо сейчас.

По материалам отчётов XM Cyber и публикаций Macworld, AppleInsider.