# CVE-2023-43000 - Apple WebKit Use-After-Free (Zero-Day iOS/macOS) > [!high] CVSS 8.8 - CISA KEV - Exploração Ativa > Use-after-free crítico no motor WebKit da Apple afetando Safari, iOS e macOS. Explorado ativamente in-the-wild como zero-day antes da públicação do patch em outubro de 2023. ## Visão Geral CVE-2023-43000 é uma vulnerabilidade de **use-after-free** no motor de renderização WebKit da Apple. A falha ocorre quando o WebKit acessa memória já liberada durante o processamento de conteúdo web especialmente construído, podendo resultar em corrupção de memória e execução de código arbitrário no dispositivo da vítima. Como o WebKit é o motor mandatório para todos os navegadores no iOS e iPadOS (incluindo Chrome e Firefox para iOS), a vulnerabilidade afeta práticamente todos os dispositivos Apple conectados à internet. A gravidade operacional desta CVE é amplificada pela sua natureza de zero-day: a Apple confirmou que a falha foi explorada ativamente antes da disponibilização do patch em 4 de outubro de 2023. A inclusão no catálogo CISA KEV (Known Exploited Vulnerabilities) no mesmo dia do patch reflete a urgência máxima - organizações federais norte-americanas receberam prazo emergêncial para atualização. Para o Brasil e América Latina, o impacto é particularmente relevante dado o alto índice de adoção de dispositivos Apple em segmentos corporativos e governamentais. Executivos, jornalistas, advogados e servidores públicos com dispositivos iOS sem atualização representaram um vetor de ataque de alto valor durante o período de exploração ativa. ## Detalhes Técnicos A vulnerabilidade é classificada como **CWE-416 (Use After Free)** no motor WebKit. Em condições normais, ao processar páginas web com elementos dinâmicos - JavaScript, CSS complexo ou SVG - o WebKit aloca e libera blocos de memória heap. O bug permite que uma referência a um bloco de memória já liberado persista e seja reutilizada, levando a condições de corrida e corrupção de heap controlável pelo atacante. **Mecanismo de exploração:** - Atacante cria página web com conteúdo malicioso (HTML/JS/SVG especializado) - Vítima acessa a página via Safari, WebView ou qualquer navegador iOS/iPadOS - O WebKit processa o conteúdo e aciona o bug de use-after-free - Com controle de heap spray ou primitivas de exploração específicas, execução de código arbitrário torna-se viável - O código executa no contexto do processo WebKit com permissões do usuário **Limitações e cadeia de exploração:** A exploração requer interação mínima do usuário (visita à página maliciosa) e foi observada em cadeias de zero-day combinando CVE-2023-43000 com vulnerabilidades de escalada de privilégios para comprometimento completo do dispositivo. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apple | iOS | anterior a 17.0.1 | 17.0.1 | | Apple | iPadOS | anterior a 17.0.1 | 17.0.1 | | Apple | macOS Ventura | anterior a 13.6.1 | 13.6.1 | | Apple | Safari | anterior a 16.6.1 | 16.6.1 | | Apple | iOS 16.x (legado) | anterior a 16.7.2 | 16.7.2 | | Apple | macOS Monterey (legado) | anterior a 12.7.1 | 12.7.1 | | Apple | macOS Big Sur (legado) | anterior a 11.7.10 | 11.7.10 | **Não afetado:** Dispositivos Windows, Linux, Android (não usam WebKit). Dispositivos Apple atualizados para as versões acima. ## Attack Flow ```mermaid graph TB A["🎯 Preparação<br/>Página HTML/JS maliciosa<br/>hospedada em servidor C2"] --> B["📧 Entrega<br/>Link via e-mail, SMS,<br/>WhatsApp ou iMessage"] B --> C["💥 Exploração<br/>CVE-2023-43000<br/>Use-after-free no WebKit"] C --> D["🔓 Execução de Código<br/>Código arbitrário no<br/>processo WebKit/Safari"] D --> E["📱 Comprometimento<br/>Acesso a dados do dispositivo<br/>fotos, senhas, mensagens"] E --> F["🔒 Persistência<br/>Implante instalado via<br/>escalada de privilégio"] ``` *Atores: ver perfis de grupos de espionagem que historicamente exploram zero-days Apple* ## Detecção e Defesa **Mitigação principal:** Atualizar imediatamente todos os dispositivos Apple para as versões com patch: - iPhone/iPad: **Ajustes > Geral > Atualização de Software** → iOS/iPadOS 17.0.1 ou superior - Mac: **Menu Apple > Preferências do Sistema > Atualização de Software** → macOS 13.6.1 ou superior - Safari standalone no macOS: atualização incluída na atualização do sistema operacional **Detecção de comprometimento (forense iOS):** - Usar **iMazing** ou **libimobiledevice** para coletar diagnóstico do dispositivo - Verificar logs do sistema (syslog) por crashes do WebKit ou Safari não usuais - Monitorar processos anômalos pós-reinicialização (indicativo de jailbreak ou implante) - Ferramentas: **MVT (Mobile Verification Toolkit)** do Amnesty International para análise de IOCs **Monitoração organizacional:** - Registrar versões de iOS/macOS em inventário de MDM (Jamf, Intune) - Alertar sobre dispositivos com versão anterior ao patch de 04/10/2023 - Considerar política de MDM para bloquear acesso corporativo em dispositivos desatualizados > [!latam] Impacto para Brasil e América Latina > O Brasil lidera a adoção de iPhone na América Latina - pesquisas de 2023 indicam mais de 25 milhões de iPhones ativos no país. Em setores de alto valor (financeiro, jurídico, governamental), a penetração de dispositivos Apple é ainda mais alta. Zero-days em WebKit/iOS historicamente foram utilizados por grupos de espionagem (como NSO Group com o Pegasus) para atacar jornalistas, advogados e ativistas na região. O CVE-2023-43000 integra a mesma categoria de risco. Organizações com políticas BYOD e usuários com acesso a dados sensíveis devem tratar a atualização como emergência de segurança. ## Contexto de Exploração A Apple não divulgou detalhes sobre os atacantes que exploraram CVE-2023-43000 antes do patch. O padrão de exploração - zero-day em WebKit adicionado ao CISA KEV no dia do patch - é consistente com uso por grupos de espionagem sofisticados que comercializam ou utilizam zero-days Apple para vigilância direcionada. Historicamente, zero-days em WebKit/iOS foram explorados por: - [[nso-group-pegasus|NSO Group]] (Pegasus - Israel) - Grupos vinculados a estados-nação com capacidade ofensiva avançada - Operações de espionagem comercial (mercenários digitais) ## Notas Relacionadas **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1566-001-spearphishing-attachment|T1566.001]] **Setores em risco:** [[government]] · [[financial]] · [[technology]] **CVEs similares (WebKit):** [[cve-2023-41992|CVE-2023-41992]] · [[cve-2023-41993|CVE-2023-41993]] **Vendor:** [[_apple|Apple]] **Defesa:** [[t1553-subvert-trust-controls|T1553]] · [[m1001-security-updates|M1001 - Atualizações de Segurança]] ## Referências - [NVD - CVE-2023-43000](https://nvd.nist.gov/vuln/detail/CVE-2023-43000) - [Apple Security Advisory iOS 17.0.1](https://support.apple.com/en-us/HT213926) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [BleepingComputer - Apple fixes 3 new zero-days exploited in the wild](https://www.bleepingcomputer.com/news/apple/apple-fixes-3-new-zero-days-exploited-in-attacks-on-iphones-and-macs/)