# CVE-2023-42824 > [!high] Escalação de privilégios no kernel iOS/iPadOS - exploração ativa documentada pela Apple > Vulnerabilidade no kernel do iOS/iPadOS que permite aplicativos locais elevar privilégios. A Apple confirmou exploração ativa contra versões anteriores ao iOS 16.6 no contexto de cadeias de spyware como **Predator** e **Triangulation**. ## Visão Geral A [[cve-2023-42824|CVE-2023-42824]] é uma vulnerabilidade de escalonamento de privilégios no kernel do iOS e iPadOS, corrigida em outubro de 2023 com a versão 17.0.3. A Apple confirmou que a falha pode ter sido explorada ativamente contra versões anteriores ao iOS 16.6, indicando uso em campanhas reais de vigilância. Esta CVE integra o contexto mais amplo de exploração de zero-days em dispositivos Apple por grupos de spyware comercial e atores estado-nação. Pesquisadores associaram falhas similares desta época às campanhas [[operation-triangulation|Operation Triangulation]] (APT russo) e ao spyware [[predator|Predator]] do Intellexa Consortium, que tem historicamente como alvos jornalistas, ativistas e funcionários governamentais em países de risco - incluindo LATAM. Para organizações brasileiras com políticas BYOD ou uso corporativo de iPhone/iPad em cargos executivos e sensíveis, esta vulnerabilidade reforça a necessidade de manutenção de dispositivos Apple sempre nas versões mais recentes. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 7.8 (High) | | **Vetor** | Local - requer acesso ao dispositivo ou app malicioso instalado | | **Produto** | iOS, iPadOS | | **Versões afetadas** | < iOS 17.0.3 / iPadOS 17.0.3 | | **Patch** | iOS 17.0.3 (04 out 2023) | | **Componente** | Kernel XNU | ## Impacto e Contexto de Exploração A escalação de privilégios no kernel permite que um aplicativo local obtenha permissões de root, quebrando o modelo de sandbox do iOS. Em cadeias de ataque de spyware: 1. Acesso inicial via zero-click WebKit ou clique em link malicioso 2. Execução de código em contexto restrito (sandbox) 3. Escalação via CVE-2023-42824 para escape do sandbox 4. Instalação de payload de spyware com acesso total ao dispositivo **TTPs relacionados:** [[t1404-exploitation-for-privilege-escalation|T1404]] · [[t1437-application-layer-protocol|T1437]] · [[t1417-input-capture|T1417]] · [[t1512-video-capture|T1512]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar todos os dispositivos iOS/iPadOS para 17.0.3 ou superior - Habilitar Modo de Isolamento (Lockdown Mode) em dispositivos de alto risco - Revisar aplicativos instalados de fontes desconhecidas **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1011-mobile-device-management|M1011]] > [!latam] Relevância LATAM > Jornalistas, ativistas e funcionários governamentais em países latinoamericanos figuram entre alvos históricos de spyware comercial como **Predator** e **Pegasus**. Dispositivos Apple desatualizados em posições sensíveis representam risco crítico de vigilância estatal. ## Referências - [Apple Security Advisory](https://support.apple.com/en-us/111900) - [Kaspersky - Operation Triangulation](https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/)