Исследователь безопасности, известный под псевдонимами Chaotic Eclipse, Nightmare-Eclipse и MSNightmare, опубликовал на GitHub публичный proof-of-concept эксплойт под названием GreatXML, демонстрирующий метод обхода шифрования Windows BitLocker. Техника использует манипуляцию XML-конфигурационными файлами и загрузку в Windows Recovery Environment (WinRE) для получения неограниченного доступа к зашифрованному тому. Публикация PoC означает, что технические детали атаки доступны широкому кругу лиц, хотя независимая верификация метода со стороны Microsoft на момент публикации отсутствует.
Механизм эксплуатации
Согласно описанию в блоге исследователя и данным публичного репозитория, атака GreatXML состоит из двух ключевых этапов:
- Размещение XML-файлов на разделе восстановления: атакующий копирует файл
unattend.xmlи структуру каталоговRecovery/WindowsRE/ReAgent.xmlв корень раздела восстановления системы. - Перезагрузка в среду восстановления Windows: выполняется загрузка в WinRE — например, удерживанием клавиши Shift при нажатии «Перезагрузка» в меню питания Windows.
По заявлению исследователя, при корректном выполнении этих шагов открывается командная оболочка с неограниченным доступом к тому, защищённому BitLocker. Важно подчеркнуть: данное утверждение основано исключительно на материалах самого исследователя и не подтверждено Microsoft или независимыми экспертами.
Роль Windows Defender Offline Scan
Отдельного внимания заслуживает утверждение Chaotic Eclipse о связи уязвимости с функцией автономного сканирования Windows Defender. По словам исследователя, системы, на которых хотя бы раз запускалось автономное сканирование Defender, могут быть особенно подвержены этому методу обхода. Если же автономное сканирование никогда не инициировалось, атакующему, предположительно, потребуется либо войти в систему и запустить его самостоятельно, либо найти способ загрузить WinRE в состоянии автономного сканирования. Исследователь отмечает, что последнее, по его мнению, возможно и без авторизации. Однако эти утверждения исходят из единственного неверифицированного источника и требуют крайне осторожного отношения.
Затронутые продукты и статус эксплуатации
На основании имеющихся данных, потенциально затронуты следующие компоненты:
- Windows BitLocker — полнодисковое шифрование
- Windows Recovery Environment (WinRE) — среда восстановления
- Microsoft Defender Offline Scan — функция автономного сканирования
Статус эксплуатации: доступен публичный PoC. Свидетельств активной эксплуатации в реальных атаках на данный момент нет. Оценка CVSS для GreatXML не опубликована, идентификатор CVE не присвоен.
Контекст: активность исследователя
GreatXML — не первая публикация Chaotic Eclipse, связанная с обходом BitLocker. По имеющимся данным, ранее исследователь опубликовал метод обхода под названием YellowKey. Кроме того, незадолго до GreatXML был представлен инструмент RoguePlanet, описываемый как уязвимость повышения привилегий в Microsoft Defender. Однако для обоих этих инструментов отсутствуют подтверждения из авторитетных источников в доступных материалах, поэтому их значимость и работоспособность остаются под вопросом.
Оценка воздействия
Если метод GreatXML действительно работает так, как описано, потенциальные последствия серьёзны: обход BitLocker означает доступ к данным на зашифрованном диске, что полностью нивелирует защиту полнодискового шифрования. Наибольшему риску подвержены:
- Организации, полагающиеся на BitLocker как основной механизм защиты данных на конечных устройствах
- Сценарии физического доступа к устройству — украденные или утерянные ноутбуки
- Среды, где раздел восстановления доступен для записи непривилегированным пользователям
Существенное ограничение: атака требует возможности записи файлов на раздел восстановления, что в стандартной конфигурации Windows доступно только привилегированным пользователям. Это снижает практическую применимость метода в удалённых атаках, но не исключает угрозу при физическом доступе или в сочетании с другими уязвимостями повышения привилегий.
Рекомендации по защите
До появления официальной позиции Microsoft и, возможно, патча, целесообразно принять следующие превентивные меры:
- Ограничить доступ к разделу восстановления: убедиться, что раздел Recovery не смонтирован и недоступен для записи обычным пользователям. Проверить текущее состояние можно через
diskpartилиmountvol. - Контролировать целостность файлов WinRE: отслеживать появление нехарактерных файлов
unattend.xmlи изменения вReAgent.xmlна разделе восстановления. - Ограничить загрузку в WinRE: рассмотреть возможность настройки UEFI/BIOS для ограничения альтернативных вариантов загрузки, включая установку пароля на BIOS.
- Усилить физическую безопасность устройств: для критичных систем применять дополнительные уровни защиты — TPM с PIN-кодом, Secure Boot, контроль физического доступа.
- Мониторинг: настроить оповещения на события перезагрузки в WinRE и изменения на разделе восстановления через SIEM.
Приоритет реагирования — средний: публичный PoC доступен, но требует локального доступа и записи на системный раздел. Организациям, для которых BitLocker является ключевым элементом защиты данных, следует немедленно проверить права доступа к разделу восстановления и настройки загрузки, а также отслеживать появление официального ответа Microsoft по данной проблеме.
