# CVE-2026-20700 - Apple Zero-Day em dyld Explorado em Ataque de Spyware Sofisticado > [!high] CVSS: 7.8 (Alto) · Vendor: Apple · CISA KEV: Sim (2026-02-12) · Prazo: 2026-03-05 · Explorado em ataques de spyware "extremamente sofisticados" ## Visão Geral CVE-2026-20700 é uma vulnerabilidade zero-day no **dyld** - o linker dinâmico da Apple responsável por carregar bibliotecas em processos em execução - que afeta toda a família de sistemas operacionais Apple: iOS, iPadOS, macOS, tvOS, watchOS e visionOS. A falha foi explorada em ataques descritos pela própria Apple como "extremamente sofisticados", linguagem reservada pela empresa para designar exploits de altíssima complexidade técnica normalmente associados a atores estado-nação ou desenvolvedores de spyware comercial como o NSO Group (Pegasus) ou a Paragon Solutions (Graphite). O dyld é um componente crítico de baixo nível presente em todos os sistemas Apple. Uma vulnerabilidade nesta camada permite que um atacante manipule o carregamento de bibliotecas dinâmicas antes mesmo da execução do processo-alvo, podendo resultar em execução de código arbitrário, escalada de privilégios e instalação de spyware persistente. Este tipo de comprometimento é especialmente difícil de detectar porque ocorre antes das proteções de runtime do sistema operacional entrarem em vigor. A Apple lançou patches para toda a família de produtos em 12 de fevereiro de 2026, e a CISA adicionou a CVE ao KEV na mesma data com prazo obrigatório de 21 dias para agências federais. Embora a atribuição específica não tenha sido divulgada públicamente, o padrão de exploração é consistente com campanhas de spyware comercial direcionadas a jornalistas, ativistas, dissidentes políticos e funcionários governamentais - perfis de alto risco historicamente visados por ferramentas como Pegasus. A ativação imediata do **Lockdown Mode** é recomendada para esses perfis enquanto o patch é distribuído. > [!latam] Impacto no Brasil e LATAM > O Brasil e a América Latina têm histórico documentado de uso de spyware comercial contra jornalistas, ativistas, advogados e figuras políticas. Ferramentas como Pegasus foram detectadas em múltiplos países da região. Uma vulnerabilidade no dyld da Apple - componente presente em 100% dos dispositivos iOS/macOS - representa superfície de ataque potencialmente ampla para esses perfis de risco. Organizações de defesa de direitos digitais como a Access Now monitoram ativamente este tipo de exploração. Dispositivos Apple de jornalistas e ativistas brasileiros devem ser atualizados imediatamente. O Lockdown Mode deve ser ativado para qualquer pessoa com perfil de risco elevado. ## Produtos Afetados | Produto | Sistema Operacional | Versão Corrigida | |---------|---------------------|-----------------| | iPhone | iOS < atualização fev/2026 | iOS 19.3.2 ou superior | | iPad | iPadOS < atualização fev/2026 | iPadOS 19.3.2 ou superior | | Mac | macOS < atualização fev/2026 | macOS Sequoia 15.3.2 ou superior | | Apple TV | tvOS < atualização fev/2026 | tvOS 19.3.2 ou superior | | Apple Watch | watchOS < atualização fev/2026 | watchOS 11.3.2 ou superior | | Apple Vision Pro | visionOS < atualização fev/2026 | visionOS 2.3.2 ou superior | ## Descrição Técnica O **dyld** (Dynamic Linker/Loader) é o componente responsável por localizar e carregar as bibliotecas dinâmicas (`.dylib`) que um processo requer ao ser inicializado. A vulnerabilidade CVE-2026-20700 reside em uma falha no processamento realizado pelo dyld durante este carregamento, possívelmente uma condição de corrida (race condition), uso após liberação (use-after-free), ou manipulação indevida de caminhos de biblioteca. **Por que o dyld é um alvo de alto valor para atacantes:** - Opera antes das proteções de runtime do sistema (antes do sandbox, entitlements e ASLR completo) - Tem acesso a toda a memória do processo sendo inicializado - Uma exploração bem-sucedida pode comprometer qualquer aplicativo no sistema - Dificulta a detecção por soluções de segurança que monitoram comportamento de runtime **Vetor de ataque:** - A falha requer execução local com interação do usuário (UI:R) - porém pode ser encadeada com outras vulnerabilidades para zero-click - A combinação com [[t1203-exploitation-client-execution|T1203]] e [[t1068-exploitation-for-privilege-escalation|T1068]] é padrão em cadeias de exploração de spyware avançado ## Mitigação 1. **Atualizar imediatamente** todos os dispositivos Apple para as versões patcheadas de fevereiro de 2026 2. **Ativar Lockdown Mode** (Configurações > Privacidade e Segurança > Lockdown Mode) para perfis de alto risco 3. **Reiniciar dispositivos regularmente** - spyware in-memory não sobrevive a reboots completos 4. **Monitorar indicadores** com ferramentas como Mobile Verification Toolkit (MVT) da Amnesty International 5. **Verificar a versão instalada** em Configurações > Geral > Sobre ## Detecção A detecção de spyware avançado explorando dyld é extremamente difícil sem ferramentas forenses especializadas: - **MVT (Mobile Verification Toolkit):** ferramenta open-source da Amnesty International para análise forense de dispositivos iOS/Android em busca de IOCs conhecidos de Pegasus e outras ameaças similares - **Indicadores comportamentais:** bateria drenando rapidamente, aquecimento anormal, tráfego de rede para destinos desconhecidos em horários incomuns - **Logs do sistema:** anomalias nos crash reports do iOS relacionados a processos do sistema ## Referências - [BleepingComputer - Apple fixes zero-day flaw used in extremely sophisticated attacks](https://www.bleepingcomputer.com/news/security/apple-fixes-zero-day-flaw-used-in-extremely-sophisticated-attacks/) - [The Hacker News - Apple Zero-Day dyld](https://thehackernews.com/2026/02/apple-fixes-zero-day-flaw-used-in.html) - [CISA KEV - Adição 2026-02-12](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Apple Security Advisory HT215000](https://support.apple.com/security-updates) ## Notas Relacionadas **TTPs relacionadas:** [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1005-data-from-local-system|T1005]] **Setores em risco:** [[government]] · [[telecommunications]] · Jornalismo e ativismo **Contexto histórico:** CVE similar a cadeias de exploração iOS usadas pelo Pegasus (NSO Group) e Graphite (Paragon) em campanhas documentadas na LATAM