Mac 電腦爆新型安全漏洞：黑客可避過 macOS 防禦停用防毒軟件，附實用防範教學

macOS 權限提升漏洞曝光：CrowdStrike 等企業保安軟件曾受影響，蘋果尚未回應

好多用家一直認為 Mac 電腦系統比其他作業系統更具備安全性，但網絡安全界別近期發現咗一個值得關注嘅新漏洞。網絡安全公司 XM Cyber 嘅研究人員揭露咗一個針對 macOS 嘅新型攻擊手法，黑客能夠喺無需內核漏洞攻擊（Kernel exploit）或者避過系統完整性保護（System Integrity Protection, SIP）嘅情況下，輕易取得系統更高權限，甚至能夠神不知鬼不覺地停用企業級嘅防護軟件。

呢個發現打破咗業界對 macOS 架構安全嘅傳統假設。XM Cyber 建立咗一款名為「XM Hunter」嘅概念驗證工具，並將會喺今年 8 月舉行嘅 Black Hat 網絡安全大會上作詳細展示。我哋將會為讀者拆解呢個漏洞嘅運作原理、受影響嘅軟件範圍，以及針對香港及各地華人企業與個人用家嘅實用防範建議。

macOS 信任機制出現破綻

根據 XM Cyber 發表嘅研究報告指出，今次發現嘅漏洞核心在於 macOS 處理軟件信任關係（Trust relationships）嘅方式出現破綻。傳統上，企業級安全防護軟件（例如 Endpoint Detection and Response, EDR）會假設只有經過官方開發者簽名嘅合法軟件，先至有權限同系統嘅後台特權進程（Background processes）進行通訊。

但係，XM Cyber 發現，攻擊者只需要透過最基本嘅普通用戶權限（Standard user account），就可以利用 macOS 識別受信任應用程式組件嘅系統缺陷，強行中斷防毒軟件嘅運作。過程中唔需要管理員密碼，亦唔會觸發任何安全系統警告，令到受害電腦喺完全無防備嘅情況下暴露於風險之中。

漏洞原理詳細剖析：XPC 服務與 CDHash 緩存被濫用

要理解呢個漏洞嘅嚴重性，我哋需要先了解 macOS 內部嘅運作機制。呢次攻擊主要針對 macOS 嘅 XPC（跨進程通訊）服務以及 CDHash（代碼目錄雜湊值）內核緩存機制。

1. 信任邊界被打破

喺 macOS 系統入面，好多應用程式都會喺後台運行具備最高權限（Root）嘅守護程序（Daemons）。呢啲程序依賴蘋果嘅代碼簽名驗證機制（特別係 CDHash）嚟確認邊啲軟件組件係安全可靠。當一個合法簽名嘅應用程式第一次運行嗰陣，系統內核會記錄低佢嘅 CDHash 信任狀態，並將其緩存（Cache）起嚟。

漏洞嘅致命傷在於，呢個信任緩存喺應用程式運行之後依然會持續有效。黑客可以先啟動一個合法簽名嘅應用程式，等系統記錄咗信任狀態之後，再從中修改應用程式嘅內部結構（Bundle structure），注入名為 NIB（Interface Builder）嘅惡意程式碼（Payload）。因為系統內核仍然認為該進程處於「已信任」狀態，黑客就可以借殼上市，偽裝成高度受信任嘅組件。

2. 深入核心停用防護

當惡意程式碼成功注入並獲得信任之後，佢就可以直接同後台嘅特權守護程序對話，甚至能夠調用系統內部嘅高權限指令，例如 terminateAppsAndAgents（終止應用程式及代理）或者 ceaseSystemExtensionWithReply（停止系統擴展）。

透過呢啲指令，黑客可以直接命令安全防護軟件「自我關閉」。因為指令係由一個「受信任」嘅內部組件發出，防毒軟件嘅自我保護機制（Self-defense mechanisms）完全發揮唔到作用。而且，呢種攻擊手法係濫用作業系統嘅合法行為，並非傳統意義上嘅記憶體損壞或惡意程式碼執行，因此唔會留低明顯嘅事件日誌（Event log artifacts），令到事後嘅數碼鑑證工作變得非常困難。

受影響企業軟件及目前修復進度

呢個系統性漏洞對依賴端點安全防護嘅企業構成重大威脅。如果內部員工有惡意企圖，又或者黑客透過社交工程（Social engineering）誘使用家執行咗某啲基本程式，佢哋就可以喺毫無痕跡嘅情況下，將防毒軟件完全移除，為後續嘅資料竊取（Data exfiltration）鋪路。

根據 XM Cyber 嘅報告，目前已經確認有主流企業安全工具曾經受此漏洞影響：

• CrowdStrike Falcon Sensor：攻擊者能夠透過普通用戶帳戶（UID 502）完全卸載感應器，令到系統監控、進程偵測同網絡可視性全面失效。CrowdStrike 方面已經向研究人員支付漏洞賞金，並喺所有受支援嘅 macOS 版本中加入咗針對此漏洞嘅偵測同防禦機制。
• Kandji MDM Agent：攻擊者可以透過兩階段嘅 XPC 鏈式攻擊，永久停用 MDM 代理程式，並終止端點安全框架（ESF）擴充功能。Kandji 亦已修復問題（獲分配編號 CVE-2026-39118），支付咗漏洞賞金並更新軟件。

至於蘋果公司（Apple）方面，目前尚未對 XM Cyber 嘅研究結果作出公開回應。不過，研究報告提到，開發者可以透過喺程式碼中加入 xpc_connection_set_peer_code_signing_requirement()（於 macOS 13 引入嘅功能）或者使用 SecCodeCheckValidity() 重新驗證簽名狀態，從而喺連線初期阻截呢類偽裝攻擊。

macOS 內建安全機制比較與分析

好多用家可能會問，macOS 本身唔係已經有好多層保護咩？點解仲會發生呢種情況？我哋可以客觀對比一下 macOS 嘅各項安全機制，了解佢哋各自嘅功能同限制：

透過上述比較可以見到，今次漏洞之所以特別危險，係因為佢巧妙地利用咗 macOS 架構中「信任一旦建立就難以覆核」嘅盲點，成功繞過咗針對外部威脅嘅防禦網。

企業與個人用家嘅實用防範指南

無論你係身處香港、台灣、中國內地定係新加坡，只要有使用 Mac 電腦，都應該對呢次安全事件保持警惕。雖然呢個漏洞嘅技術門檻相對較高，主要針對企業環境，但個人用家同樣不能掉以輕心。以下係幾個基於客觀事實嘅實用防範建議：

1. 企業 IT 管理員行動清單

• 立即檢查防護軟件版本：如果你嘅公司正在使用 CrowdStrike、Kandji 或其他 EDR/MDM 方案，IT 部門必須立即檢查控制台，確保所有 macOS 終端機已經更新到供應商提供嘅最新版本。
• 檢視零信任架構（Zero Trust Architecture）：呢次事件證明咗「內部進程必定安全」嘅假設已經過時。企業應該重新評估內部網絡及權限管理機制，盡量限制普通用戶執行不明腳本嘅能力。
• 監控異常 XPC 活動：雖然傳統防毒未必能即時攔截，但 IT 團隊可以透過分析系統日誌中異常頻繁嘅 XPC 服務調用，尋找潛在入侵跡象。

2. 個人用家實用防範建議

• 謹慎選擇軟件下載來源：要防範黑客入侵，最有效嘅方法係從源頭截斷風險。盡量只從 Mac App Store 下載應用程式，因為嗰度嘅軟件經過 Apple 嚴格審查，係最安全嘅獲取途徑。
• 拒絕使用破解軟件（Cracked Software）：好多用家為咗節省金錢會喺網上下載破解版軟件。呢類軟件通常被修改過內部結構，極容易成為黑客植入惡意 NIB Payload 嘅溫床。使用破解軟件等同主動將系統大門打開，風險極高。
• 提防社交工程陷阱：今次攻擊嘅前提係黑客需要搵方法接觸到目標 Mac 電腦。用家收到不明來歷嘅電郵或者短訊時，絕對唔好隨便點擊連結或者下載附件。如果收到自稱係銀行、電訊商或者速遞公司嘅電郵，可以先按住 Control 鍵點擊連結，選擇「複製連結地址」，貼喺文字編輯器檢查清楚網址係咪官方網站。
• 保持 macOS 系統更新：Apple 經常會透過系統更新修補底層漏洞。當系統提示有安全性更新（Security patches）時，用家應該盡快安排時間安裝。即使 Apple 偶爾會撤回某啲更新，佢哋通常會喺修正後盡快重新發布。

總結

網絡安全技術日新月異，黑客嘅攻擊手法亦不斷進化。XM Cyber 今次揭露嘅 macOS XPC 權限提升漏洞，清楚反映咗即使係架構出名嚴密嘅 Mac 系統，亦會存在設計上嘅邏輯缺陷。對於一般大眾用家而言，最實在嘅自保方法就係保持良好嘅上網習慣：唔亂下載、唔用盜版、定期更新系統。只要做好基本功，就能夠將感染惡意程式嘅風險降到最低。