# CVE-2023-41990 - Apple FontParser RCE via ADJUST TrueType > CVSS: 7.8 - Vendor: Apple - Patch: Sim (iOS 15.7.8 / 16.3) - CISA KEV: Sim ## Resumo **CVE-2023-41990** é uma vulnerabilidade de execução remota de código no componente FontParser da [[_apple|Apple]], específicamente na instrução ADJUST do formato TrueType. Esta instrução não documentada, existente desde os anos 1990, foi explorada como ponto de entrada zero-click da campanha [[operation-triangulation|Operation Triangulation]]. O ataque iniciava com um anexo iMessage malicioso contendo uma fonte TrueType manipulada. O processamento automático do anexo (sem interação do usuário) disparava a execução de código através de técnicas ROP/JOP (Return/Jump Oriented Programming), usando múltiplos estágios escritos em NSExpression/NSPredicate. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - CISA KEV: adicionada em 2023-09-11 - Zero-click: processamento automático via iMessage - Cadeia: primeiro elo de 4 zero-days na Operation Triangulation ## Impacto Técnico - **Execução de código inicial:** código arbitrário via processamento de fonte TrueType - **Zero-click:** nenhuma interação do usuário necessária - **Primeiro estágio:** estabelece execução JavaScript para exploits subsequentes - **Bypass de defesas:** utiliza ROP/JOP para contornar proteções modernas **Impacto para organizações LATAM/Brasil:** iPhones são amplamente utilizados por executivos e funcionários de alto escalão em organizações brasileiras. A natureza zero-click e o perfil das vítimas (diplomatas, jornalistas) indicam risco para alvos de espionagem estatal na região. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_apple\|Apple]] | iOS | < 15.7.8 / < 16.3 | 15.7.8 / 16.3 | | [[_apple\|Apple]] | iPadOS | < 15.7.8 / < 16.3 | 15.7.8 / 16.3 | ## Patch e Mitigação **Patch oficial:** - iOS 15.7.8 e iOS 16.3 (instrução ADJUST removida) - Data de lançamento: janeiro 2023 (patch silencioso), detalhes em setembro 2023 **Mitigações:** - Atualizar todos os dispositivos iOS para versão mais recente - Habilitar Lockdown Mode para perfis de alto risco - Monitorar tráfego iMessage com soluções MDM ## Exploração Ativa **Status atual:** exploração ativa confirmada desde 2019 até 2023. **Evidências:** - Kaspersky: descoberta em dispositivos de funcionários seniores - junho 2023 - FSB (Rússia): acusou NSA/Apple de uso em espionagem contra milhares de iPhones - junho 2023 - Kaspersky 37C3: apresentação detalhada da cadeia - dezembro 2023 **Cadeia de exploração:** 1. **CVE-2023-41990** (esta) - RCE via FontParser/ADJUST TrueType 2. [[cve-2023-32434|CVE-2023-32434]] - overflow no kernel XNU para r/w de memória física 3. [[cve-2023-38606|CVE-2023-38606]] - bypass de PPL via hardware MMIO não documentado 4. [[cve-2023-32435|CVE-2023-32435]] - RCE via WebKit para execução de shellcode ## CISA KEV Adicionada ao CISA Known Exploited Vulnerabilities Catalog em **2023-09-11**. - **Referência:** [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **CVEs da cadeia:** [[cve-2023-32434|CVE-2023-32434]] - [[cve-2023-32435|CVE-2023-32435]] - [[cve-2023-38606|CVE-2023-38606]] **Campanhas:** [[operation-triangulation|Operation Triangulation]] **TTPs relacionadas:** [[t1203-exploitation-for-client-execution|T1203]] - [[t1059-command-and-scripting-interpreter|T1059]] - [[t1068-exploitation-for-privilege-escalation|T1068]] **Setores em risco:** [[government|governo]] - [[technology|tecnologia]]