Mastodon Mastodon Mastodon Mastodon

GreatXML-Exploit veröffentlicht: Umgehung von Windows BitLocker über WinRE

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Ein Sicherheitsforscher, der unter den Pseudonymen Chaotic Eclipse, Nightmare-Eclipse und MSNightmare bekannt ist, hat auf GitHub einen öffentlichen Proof-of-Concept-Exploit mit dem Namen GreatXML veröffentlicht, der eine Methode zur Umgehung der Verschlüsselung von Windows BitLocker demonstriert. Die Technik nutzt die Manipulation von XML-Konfigurationsdateien und den Start in die Windows Recovery Environment (WinRE), um unbegrenzten Zugriff auf das verschlüsselte Volume zu erhalten. Die Veröffentlichung des PoC bedeutet, dass die technischen Details des Angriffs einem breiten Publikum zugänglich sind, auch wenn eine unabhängige Verifizierung der Methode durch Microsoft zum Zeitpunkt der Veröffentlichung nicht vorliegt.

Mechanismus der Ausnutzung

Den Beschreibungen im Blog des Forschers und den Angaben im öffentlichen Repository zufolge besteht der GreatXML-Angriff aus zwei zentralen Schritten:

  1. Ablage der XML-Dateien auf der Wiederherstellungspartition: Der Angreifer kopiert die Datei unattend.xml und die Verzeichnisstruktur Recovery/WindowsRE/ReAgent.xml in das Stammverzeichnis der Systemwiederherstellungspartition.
  2. Neustart in die Windows-Wiederherstellungsumgebung: Es erfolgt ein Start in WinRE – beispielsweise durch Gedrückthalten der Umschalttaste, während im Windows-Netzschaltermenü auf „Neu starten“ geklickt wird.

Nach Angaben des Forschers öffnet sich bei korrekter Ausführung dieser Schritte eine Kommandozeilen-Shell mit uneingeschränktem Zugriff auf das mit BitLocker geschützte Volume. Wichtig ist der Hinweis, dass diese Behauptung ausschließlich auf den Materialien des Forschers selbst beruht und weder von Microsoft noch von unabhängigen Experten bestätigt wurde.

Die Rolle von Windows Defender Offline Scan

Besondere Beachtung verdient die Behauptung von Chaotic Eclipse, dass die Schwachstelle mit der Funktion autonomes Scannen von Windows Defender zusammenhängt. Nach Angaben des Forschers könnten Systeme, auf denen der Defender-Offline-Scan zumindest einmal ausgeführt wurde, diesem Umgehungsverfahren besonders ausgesetzt sein. Wurde ein Offline-Scan hingegen noch nie initiiert, muss der Angreifer dem Vernehmen nach entweder das System betreten und ihn selbst starten oder einen Weg finden, WinRE im Modus des Offline-Scans zu booten. Der Forscher merkt an, dass Letzteres seiner Ansicht nach auch ohne Authentifizierung möglich sei. Diese Aussagen stammen jedoch ausschließlich aus einer einzigen, nicht verifizierten Quelle und sind daher mit größter Vorsicht zu bewerten.

Betroffene Produkte und Exploit-Status

Auf Basis der vorliegenden Informationen sind potenziell die folgenden Komponenten betroffen:

  • Windows BitLocker — Festplatten-Vollverschlüsselung
  • Windows Recovery Environment (WinRE) — Wiederherstellungsumgebung
  • Microsoft Defender Offline Scan — Funktion für das Offline-Scannen

Exploit-Status: öffentlicher PoC verfügbar. Hinweise auf eine aktive Ausnutzung in realen Angriffen liegen derzeit nicht vor. Eine CVSS-Bewertung für GreatXML wurde nicht veröffentlicht, eine CVE-Kennung wurde nicht vergeben.

Kontext: Aktivität des Forschers

GreatXML ist nicht die erste Veröffentlichung von Chaotic Eclipse im Zusammenhang mit der Umgehung von BitLocker. Den verfügbaren Informationen zufolge hat der Forscher zuvor bereits eine Umgehungsmethode mit dem Namen YellowKey veröffentlicht. Außerdem wurde kurz vor GreatXML das Tool RoguePlanet vorgestellt, das als Privilege-Escalation-Schwachstelle in Microsoft Defender beschrieben wird. Für beide Tools fehlen in den verfügbaren Materialien jedoch Bestätigungen durch anerkannte Quellen, sodass ihre Bedeutung und Funktionsfähigkeit weiterhin fraglich bleiben.

Einschätzung der Auswirkungen

Sollte die GreatXML-Methode tatsächlich wie beschrieben funktionieren, wären die potenziellen Folgen gravierend: Eine Umgehung von BitLocker bedeutet Zugriff auf die Daten des verschlüsselten Datenträgers und hebelt damit den Schutz der Festplattenvollverschlüsselung vollständig aus. Besonders gefährdet sind:

  • Organisationen, die sich auf BitLocker als primären Mechanismus zum Schutz von Daten auf Endgeräten verlassen
  • Szenarien mit physischem Zugriff auf das Gerät – gestohlene oder verlorene Notebooks
  • Umgebungen, in denen die Wiederherstellungspartition für nicht privilegierte Benutzer beschreibbar ist

Eine wesentliche Einschränkung: Der Angriff setzt die Möglichkeit voraus, Dateien auf die Wiederherstellungspartition zu schreiben, was in der Standardkonfiguration von Windows nur privilegierten Benutzern gestattet ist. Dadurch wird die praktische Anwendbarkeit der Methode in Remote-Angriffen reduziert, die Gefahr bei physischem Zugriff oder in Kombination mit anderen Privilege-Escalation-Schwachstellen jedoch nicht ausgeschlossen.

Empfehlungen zum Schutz

Bis zur Veröffentlichung einer offiziellen Stellungnahme von Microsoft und eines möglichen Patches ist es sinnvoll, die folgenden präventiven Maßnahmen zu ergreifen:

  • Zugriff auf die Wiederherstellungspartition einschränken: Sicherstellen, dass die Recovery-Partition nicht eingehängt ist und für normale Benutzer nicht beschreibbar ist. Der aktuelle Zustand lässt sich über diskpart oder mountvol prüfen.
  • Integrität der WinRE-Dateien überwachen: Das Auftreten ungewöhnlicher unattend.xml-Dateien und Änderungen an ReAgent.xml auf der Wiederherstellungspartition beobachten.
  • Booten in WinRE einschränken: In Betracht ziehen, UEFI/BIOS so zu konfigurieren, dass alternative Boot-Optionen eingeschränkt werden, einschließlich der Einrichtung eines BIOS-Passworts.
  • Physische Sicherheit der Geräte erhöhen: Für kritische Systeme zusätzliche Schutzebenen einsetzen – TPM mit PIN, Secure Boot, Kontrolle des physischen Zugriffs.
  • Monitoring: Über ein SIEM Alarme für Neustart-Ereignisse in WinRE und Änderungen auf der Wiederherstellungspartition einrichten.

Reaktionspriorität – mittel: Ein öffentlicher PoC ist verfügbar, er erfordert jedoch lokalen Zugriff und Schreibrechte auf die Systempartition. Organisationen, für die BitLocker ein zentrales Element des Datenschutzes darstellt, sollten umgehend die Zugriffsrechte auf die Wiederherstellungspartition und die Boot-Einstellungen überprüfen und die Veröffentlichung einer offiziellen Stellungnahme von Microsoft zu diesem Problem aufmerksam verfolgen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen