# AN1421 — Analytic 1421 ## Descrição Detecta o uso de extensões de kernel vulneráveis ou entitlements abusados via setuid ou cadeias de injeção AppleScript no macOS para escalação de privilégios. A telemetria inclui eventos do Endpoint Security Framework (ESF) relacionados a carregamento de kernel extensions (kexts), execução de processos com entitlements privilegiados e encadeamento com AppleScript que spawna processos com privilégios elevados. Essa detecção é relevante no macOS moderno, onde a Apple restringe kexts via System Integrity Protection (SIP), tornando o abuso de extensões legítimas vulneráveis ou entitlements mal configurados uma via preferida por adversários para escalar privilégios. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN1421](https://attack.mitre.org/detectionstrategies/DET0514#AN1421)*