cve-2025-43520 - RunkIntel

# CVE-2025-43520 - Apple Buffer Overflow Clássico (Escrita em Memória do Kernel) > [!danger] CISA KEV - Prazo de Remediação: 2026-04-03 > Esta vulnerabilidade está no **CISA Known Exploited Vulnerabilities Catalog** (adicionada em 2026-03-20). Agências federais dos EUA devem remediar até **2026-04-03**. Atualizar todos os dispositivos Apple imediatamente. Trata-se da etapa final da cadeia [[cve-2025-31277|CVE-2025-31277]] + [[cve-2025-43510|CVE-2025-43510]] + CVE-2025-43520 - comprometimento total do dispositivo. > CVSS: 7.1 (Alto) · EPSS: ~45% · Vendor: Apple · Patch: Sim · CISA KEV: Sim (2026-03-20) ## Resumo **CVE-2025-43520** é uma vulnerabilidade de **buffer overflow clássico** (CWE-120) que afeta múltiplos produtos Apple, incluindo iOS, iPadOS, macOS, watchOS, tvOS e visionOS. A falha permite que uma **aplicação maliciosa cause encerramento inesperado do sistema ou escrita em memória do kernel**. A vulnerabilidade é causada por um problema de corrupção de memória no tratamento inadequado de alocações. A exploração bem-sucedida fornece ao atacante um primitivo de **escrita arbitrária em memória do kernel** - considerado o primitivo de mais alto valor em exploits iOS/macOS - que pode neutralizar todos os controles de segurança de espaço de usuário. **Pontuação de risco:** - CVSS v3.1: **7.1** (Alto) - nota CVSS subestima impacto real dado o primitivo de kernel write - EPSS: **~45%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: **adicionado em 2026-03-20** - prazo de remediação: **2026-04-03** - Exploit: **exploração ativa confirmada** pela CISA ## Impacto Técnico A combinação desta CVE com [[cve-2025-43510|CVE-2025-43510]] (manipulação de memória compartilhada entre processos) sugere uma **cadeia de exploração de dois estágios**: 1. **[[cve-2025-43510|CVE-2025-43510]]** - violação de memória compartilhada entre processos via condição de corrida (race condition), permitindo escalada de privilégios inicial 2. **CVE-2025-43520** - buffer overflow com escrita em memória do kernel, completando a escalada para controle total do sistema Um atacante com escritura arbitrária em memória do kernel pode: - **Anular sandboxing:** escaping do ambiente sandbox de aplicativos iOS/macOS - **Desabilitar SIP (System Integrity Protection):** contornar proteções de integridade do sistema - **Instalar implantes persistentes:** similar ao observado em spyware Pegasus-grade - **Elevar privilégios a root/kernel:** controle total do dispositivo **Impacto para organizações LATAM/Brasil:** Dispositivos Apple são amplamente utilizados em ambientes corporativos e governamentais no Brasil. O primitivo de kernel write classifica esta CVE como relevante para ataques dirigidos a executivos, jornalistas, advogados e ativistas - alvos típicos de spyware patrocinado por estados. Combinada com [[cve-2025-31277|CVE-2025-31277]] (acesso inicial via WebKit), forma uma cadeia completa de comprometimento remoto de dispositivos Apple. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Apple | iOS | < 18.7.2 e < 26.1 | 18.7.2 / 26.1 | | Apple | iPadOS | < 18.7.2 e < 26.1 | 18.7.2 / 26.1 | | Apple | macOS Sonoma | < 14.8.2 | 14.8.2 | | Apple | macOS Sequoia | < 15.7.2 | 15.7.2 | | Apple | macOS Tahoe | < 26.1 | 26.1 | | Apple | watchOS | < 26.1 | 26.1 | | Apple | tvOS | < 26.1 | 26.1 | | Apple | visionOS | < 26.1 | 26.1 | ## Patch e Mitigação **Patch oficial:** - Atualizar todos os dispositivos Apple para as versões corrigidas listadas acima - iOS/iPadOS: Ajustes > Geral > Atualização de Software - macOS: Menu Apple > Preferências do Sistema > Atualização de Software - watchOS: App Apple Watch no iPhone > Geral > Atualização de Software - Não há workarounds disponíveis - atualização obrigatória **Mitigações temporárias:** - Restringir instalação de aplicativos a fontes confiáveis (App Store apenas) - Habilitar MDM com políticas de controle de instalação de apps em dispositivos corporativos - Monitorar dispositivos gerenciados via MDM para identificar versões desatualizadas ## Exploração Ativa **Status atual:** ✅ **Exploração ativa confirmada** - adicionado ao CISA KEV em 2026-03-20 **Contexto analítico:** A combinação desta CVE com [[cve-2025-43510|CVE-2025-43510]] e [[cve-2025-31277|CVE-2025-31277]] no mesmo batch CISA KEV de 2026-03-20 é altamente significativa. As três CVEs juntas formam uma **cadeia completa de exploração iOS/macOS**: - CVE-2025-31277: execução de código via WebKit (acesso inicial remoto sem interação do usuário para versões pré-iOS 26) - CVE-2025-43510: manipulação de memória compartilhada (escalada de privilégios) - CVE-2025-43520: escrita em memória do kernel (controle total do dispositivo) Este padrão é consistente com implantação de **spyware governamental** ou de alto nível. ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-20**. - **Prazo de remediação para agências federais EUA:** **2026-04-03** - **Recomendação para o setor privado:** atualizar todos os dispositivos Apple imediatamente; tratar como cadeia de exploração com [[cve-2025-43510|CVE-2025-43510]] e [[cve-2025-31277|CVE-2025-31277]] - **Referência:** [CISA KEV - CVE-2025-43520](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Detecção e Resposta ### Splunk SPL ```spl index=endpoint sourcetype=crowdstrike:events OR sourcetype=sysmon | search event_simpleName=ProcessRollup2 | search (FileName="*kernel*" OR CommandLine="*kmalloc*" OR CommandLine="*mach_vm_write*") | where match(ParentImage, "(WebKit|Safari|WebContent)") | table _time, host, ParentImage, FileName, CommandLine | sort -_time ``` ```spl index=endpoint sourcetype=apple_unified_log | search "kernel write" OR "buffer overflow" OR "heap corruption" OR "IOSurface" | eval severity="CRITICAL" | stats count, values(message) as messages by host, process | sort -count ``` ### Microsoft Sentinel KQL ```kql // Detecção de kernel write via buffer overflow em Apple (via MDE) DeviceEvents | where TimeGenerated > ago(24h) | where DeviceOS has_any ("iOS", "macOS", "iPadOS") | where ActionType in ("KernelMemoryModification", "PrivilegeEscalation", "SandboxEscape") | project TimeGenerated, DeviceName, DeviceOS, ActionType, InitiatingProcessFileName, AdditionalFields | order by TimeGenerated desc ``` ```kql // Inventário de dispositivos Apple desatualizados (expostos à cadeia de exploração) DeviceInfo | where TimeGenerated > ago(24h) | where OSPlatform has_any ("iOS", "macOS", "iPadOS") | where OSVersion !in ("18.7.2", "26.1", "14.8.2", "15.7.2") | summarize count() by OSPlatform, OSVersion | order by count_ desc ``` ### Regra Sigma ```yaml title: Apple CVE-2025-43520 Kernel Write via Buffer Overflow id: c3d4e5f6-a7b8-9012-cdef-012345678902 status: experimental description: > Detecta padrões de exploração da CVE-2025-43520 - escrita em memória do kernel via buffer overflow clássico em dispositivos Apple. Etapa final da cadeia CVE-2025-31277 + CVE-2025-43510 + CVE-2025-43520. references: - https://support.apple.com/en-us/111900 author: RunkIntel date: 2026-03-23 tags: - attack.privilege_escalation - attack.t1068 - attack.defense_evasion - cve.2025-43520 logsource: product: macos service: unified_log detection: selection_kernel_events: message|contains: - 'kernel write' - 'heap overflow' - 'IOSurface' - 'mach_vm_allocate' selection_webkit_context: process.parent.name|contains: - 'com.apple.WebKit' - 'SafariWebContent' condition: selection_kernel_events and selection_webkit_context falsepositives: - Ferramentas legítimas de análise de desempenho do kernel (Instruments, DTrace) level: critical ``` ### EDR - SentinelOne **Deep Visibility Query - escrita em memória do kernel via processo não assinado:** ``` tgt.process.accessRights Contains "KERNEL_WRITE" AND src.process.signedStatus != "signed" AND src.process.name NotIn ("System", "WindowServer", "kernel_task") ``` **Threat Intelligence - IOC Watch (dispositivos vulneráveis à cadeia):** ``` AgentOS In ("macos", "ios", "ipados") AND NOT (OSVersion Contains "18.7.2" OR OSVersion Contains "26.1" OR OSVersion Contains "14.8.2" OR OSVersion Contains "15.7.2") AND ThreatStatus = "MitigationFailed" ``` > [!latam] Contexto LATAM > Dispositivos Apple - iPhone, iPad e Mac - são amplamente adotados em ambientes corporativos e governamentais no Brasil. Executivos, advogados, jornalistas e ativistas políticos latino-americanos são alvos históricos de spyware de nível governamental como Pegasus e Candiru, que utilizam cadeias similares de zero-day iOS. A cadeia CVE-2025-31277 + CVE-2025-43510 + CVE-2025-43520 permite comprometimento remoto completo de iPhones e Macs sem qualquer interação do usuário (zero-click, se combinada com vetor inicial adequado). Organizações brasileiras com políticas BYOD que permitem dispositivos Apple não gerenciados em redes corporativas devem implementar MDM com controle de versão e tratar dispositivos desatualizados como potencialmente comprometidos. O CERT.br e CTIR Gov devem ser consultados por organizações governamentais brasileiras para orientação específica sobre esta cadeia. ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-43510|CVE-2025-43510]] · [[cve-2025-31277|CVE-2025-31277]] **TTPs relacionadas:** [[t1068-exploitation-privilege-escalation|T1404 - Exploit OS Vulnerability]] · [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] **Setores em risco:** [[government]] · [[financial]] · [[mídia]] · [[sociedade-civil]]