# CVE-2023-32434 - Apple Kernel XNU Integer Overflow > CVSS: 7.8 - Vendor: Apple - Patch: Sim (iOS 15.7.7 / 16.5.1) - CISA KEV: Sim ## Resumo **CVE-2023-32434** é uma vulnerabilidade de overflow inteiro no kernel XNU da [[_apple|Apple]], específicamente nos syscalls de mapeamento de memória (`mach_make_memory_entry` e `vm_map`). A exploração permite acesso de leitura/escrita a toda a memória física do dispositivo em nível de usuário. Esta CVE é o segundo elo da cadeia de exploração da [[operation-triangulation|Operation Triangulation]], utilizada após a execução inicial via [[cve-2023-41990|CVE-2023-41990]]. O exploit JavaScript de ~11.000 linhas manipula memória do JavaScriptCore e do kernel para obter acesso completo. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - CISA KEV: adicionada em 2023-06-23 - Exploração ativa: confirmada desde 2019 - Utilizada duas vezes na cadeia: pelo exploit JavaScript e pelo shellcode ## Impacto Técnico - **Acesso à memória física:** leitura e escrita de toda a memória física do dispositivo - **Escalada de privilégios:** de nível de usuário para nível de kernel - **Reutilizada na cadeia:** explorada tanto pelo exploit JavaScript quanto pelo shellcode Safari - **Afeta múltiplas plataformas:** iOS, iPadOS, macOS, tvOS, watchOS ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_apple\|Apple]] | iOS/iPadOS | < 15.7.7 / < 16.5.1 | 15.7.7 / 16.5.1 | | [[_apple\|Apple]] | macOS Ventura | < 13.4.1 | 13.4.1 | | [[_apple\|Apple]] | macOS Monterey | < 12.6.8 | 12.6.8 | | [[_apple\|Apple]] | watchOS | < 9.5.2 | 9.5.2 | ## Patch e Mitigação **Patch oficial:** - iOS 15.7.7, iOS 16.5.1, macOS 13.4.1, macOS 12.6.8 - Data: 2023-06-21 - Reportada por Kaspersky GReAT **Mitigações:** - Atualizar todos os dispositivos Apple - Habilitar Lockdown Mode em dispositivos de alto risco - Monitorar indicadores de comprometimento via MDM ## Exploração Ativa **Status atual:** exploração ativa confirmada na Operation Triangulation (2019-2023). **Cadeia de exploração:** 1. [[cve-2023-41990|CVE-2023-41990]] - RCE via FontParser 2. **CVE-2023-32434** (esta) - overflow no kernel XNU 3. [[cve-2023-38606|CVE-2023-38606]] - bypass PPL via hardware 4. [[cve-2023-32435|CVE-2023-32435]] - RCE via WebKit ## CISA KEV Adicionada ao CISA KEV em **2023-06-23**. Exploração ativa confirmada por múltiplas fontes. ## Notas Relacionadas **CVEs da cadeia:** [[cve-2023-41990|CVE-2023-41990]] - [[cve-2023-32435|CVE-2023-32435]] - [[cve-2023-38606|CVE-2023-38606]] **Campanhas:** [[operation-triangulation|Operation Triangulation]] **TTPs relacionadas:** [[t1068-exploitation-for-privilege-escalation|T1068]] - [[t1014-rootkit|T1014]] **Setores em risco:** [[government|governo]] - [[technology|tecnologia]] ## Referências - [NVD - CVE-2023-32434](https://nvd.nist.gov/vuln/detail/CVE-2023-32434)