# CVE-2023-38606 - Apple Kernel Hardware MMIO Bypass (PPL) > CVSS: 5.5 - Vendor: Apple - Patch: Sim (iOS 16.6) - CISA KEV: Sim - Hardware exploit ## Resumo **CVE-2023-38606** é a vulnerabilidade mais sofisticada da cadeia [[operation-triangulation|Operation Triangulation]] e uma das mais complexas já documentadas em ataques contra iOS. Ela explora registradores MMIO (Memory-Mapped I/O) **não documentados** nos processadores [[_apple|Apple]] A12-A16 Bionic para contornar o Page Protection Layer (PPL) - uma proteção de hardware que impede modificação da memória do kernel mesmo após comprometimento. Os pesquisadores da Kaspersky descobriram que os registradores MMIO utilizados (endereços 0x206040000, 0x206140000, 0x206150000) pertencem ao coprocessador GPU e **não aparecem em nenhuma documentação do Apple Device Tree**. A hipótese é que foram criados para debugging/testes de fábrica e acidentalmente deixados acessíveis. **Pontuação de risco:** - CVSS v3.1: **5.5** (Médio - subestimado pelo score, crítico em contexto de cadeia) - CISA KEV: adicionada em 2023-07-26 - Hardware zero-day: exploita feature não documentada do SoC Apple - Apresentada no 37C3 (Chaos Commúnication Congress) em dezembro 2023 ## Impacto Técnico - **Bypass de PPL:** contorna proteção de hardware que previne modificação do kernel - **Controle total:** após bypass, atacante obtém controle completo do dispositivo - **Hardware-level:** não é uma vulnerabilidade de software - é uma feature de hardware abusada - **Desconhecido:** pesquisadores não sabem como atacantes descobriram a feature **Impacto para organizações LATAM/Brasil:** Esta CVE demonstra capacidades de nível nation-state. Organizações governamentais e diplomáticas brasileiras que utilizam iPhones devem considerar Lockdown Mode como mandatório. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_apple\|Apple]] | iOS/iPadOS | < 16.6 | 16.6 | | [[_apple\|Apple]] | macOS Ventura | < 13.5 | 13.5 | | [[_apple\|Apple]] | tvOS | < 16.6 | 16.6 | | [[_apple\|Apple]] | watchOS | < 9.6 | 9.6 | **Hardware afetado:** processadores Apple A12 a A16 Bionic. ## Patch e Mitigação **Patch oficial:** - iOS 16.6, macOS 13.5, tvOS 16.6, watchOS 9.6 - Data: 2023-07-24 **Mitigações:** - Atualizar todos os dispositivos Apple - Habilitar Lockdown Mode para perfis de alto risco - Considerar que dispositivos não atualizados podem estar comprometidos ## Exploração Ativa **Status atual:** exploração ativa confirmada desde 2019. **Evidências:** - Kaspersky GReAT: descoberta na investigação de iPhones de funcionários - 2023 - FSB (Rússia): milhares de dispositivos comprometidos, incluindo diplomatas NATO - 2023 - 37C3: detalhes técnicos apresentados públicamente - dezembro 2023 **Citação notável:** > "This is no ordinary vulnerability. We do not know how the attackers learned to use this unknown hardware feature or what its original purpose was." - Boris Larin, Kaspersky ## CISA KEV Adicionada ao CISA KEV em **2023-07-26**. ## Notas Relacionadas **CVEs da cadeia:** [[cve-2023-41990|CVE-2023-41990]] - [[cve-2023-32434|CVE-2023-32434]] - [[cve-2023-32435|CVE-2023-32435]] **Campanhas:** [[operation-triangulation|Operation Triangulation]] **TTPs relacionadas:** [[t1068-exploitation-for-privilege-escalation|T1068]] - [[t1014-rootkit|T1014]] - [[t1592-gather-victim-host-information|T1592]] **Setores em risco:** [[government|governo]] - [[technology|tecnologia]] ## Referências - [NVD - CVE-2023-38606](https://nvd.nist.gov/vuln/detail/CVE-2023-38606)