# CVE-2023-41992 > [!high] Zero-day no kernel Apple - componente da cadeia de exploit do spyware Predator > Escalação de privilégios no kernel do iOS, iPadOS e macOS explorada ativamente como parte da cadeia de três zero-days (**CVE-2023-41991**, **CVE-2023-41992**, **CVE-2023-41993**) usada pelo spyware comercial **Predator**. ## Visão Geral A [[cve-2023-41992|CVE-2023-41992]] é um zero-day no kernel do iOS, iPadOS e macOS que permite a aplicações locais executar código com privilégios elevados. Corrigida em setembro de 2023, foi explorada ativamente como segundo estágio de uma cadeia de três vulnerabilidades utilizadas pelo spyware [[predator|Predator]] (Intellexa Consortium). Esta CVE trabalha em conjunto com [[cve-2023-41993|CVE-2023-41993]] (entrada via WebKit/browser) e [[cve-2023-41991|CVE-2023-41991]] (bypass de verificação de certificado) para criar uma cadeia completa de comprometimento de iPhone sem interação do usuário. Após a execução inicial via WebKit, a CVE-2023-41992 fornece os privilégios de kernel necessários para instalar o implante permanentemente. A tríade foi documentada pelo Citizen Lab em investigações sobre vigilância de Ahmed Eltantawy, deputado egípcio de oposição, confirmando o uso deste arsenal para espionagem política - um padrão relevante para países latinoamericanos com histórico de uso de spyware contra figuras de oposição. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 7.8 (High) | | **Componente** | Kernel XNU (iOS/macOS) | | **Impacto** | Escalação de privilégios para kernel | | **Plataformas** | iOS < 17.0, macOS < Sonoma 14 / Ventura 13.6 | | **Patch** | iOS 17 / macOS Sonoma 14 (21 set 2023) | ## Posição na Cadeia Predator ``` CVE-2023-41993 (WebKit RCE) → Execução em contexto sandbox do browser → CVE-2023-41991 (bypass PAC/certificado) → CVE-2023-41992 (privilege escalation kernel) → Instalação do implante Predator com acesso root ``` **TTPs relacionados:** [[t1404-exploitation-for-privilege-escalation|T1404]] · [[t1203-exploitation-for-client-execution|T1203]] · [[t1437-application-layer-protocol|T1437]] · [[t1417-input-capture|T1417]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar para iOS 17, macOS Sonoma 14 ou Ventura 13.6 - Habilitar Lockdown Mode em dispositivos de alto risco - Usar MVT (Mobile Verification Toolkit) para verificar indicadores de spyware **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1011-mobile-device-management|M1011]] > [!latam] Relevância LATAM > O spyware **Predator** teve clientes governamentais identificados em países latinoamericanos. Dispositivos Apple de jornalistas, advogados, políticos de oposição e ativistas de direitos humanos na região devem ser considerados alvos potenciais desta cadeia de exploração. ## Referências - [Apple Security Advisory](https://support.apple.com/en-us/103829) - [Citizen Lab - Predator Zero-Days](https://citizenlab.ca/2023/09/predator-in-the-wires-ahmed-eltantawy-targeted-with-predator-spyware-using-zero-days/) - [Google TAG - Spyware Analysis](https://blog.google/threat-analysis-group/how-were-fighting-spyware/)