El investigador de seguridad conocido bajo los seudónimos Chaotic Eclipse, Nightmare-Eclipse y MSNightmare, publicó en GitHub un exploit de prueba de concepto público (proof-of-concept, PoC) denominado GreatXML, que demuestra un método para eludir el cifrado de Windows BitLocker. La técnica utiliza la manipulación de archivos de configuración XML y el arranque en Windows Recovery Environment (WinRE) para obtener acceso ilimitado al volumen cifrado. La publicación del PoC implica que los detalles técnicos del ataque están disponibles para un amplio abanico de personas, aunque en el momento de la publicación no existe verificación independiente del método por parte de Microsoft.
Mecanismo de explotación
Según la descripción en el blog del investigador y la información del repositorio público, el ataque GreatXML consta de dos etapas clave:
- Colocación de archivos XML en la partición de recuperación: el atacante copia el archivo
unattend.xmly la estructura de directoriosRecovery/WindowsRE/ReAgent.xmlen la raíz de la partición de recuperación del sistema. - Reinicio en el entorno de recuperación de Windows: se arranca en WinRE, por ejemplo, manteniendo pulsada la tecla Shift al hacer clic en «Reiniciar» en el menú de energía de Windows.
Según el investigador, si estos pasos se ejecutan correctamente se abre un intérprete de comandos con acceso ilimitado al volumen protegido por BitLocker. Es importante subrayar que esta afirmación se basa exclusivamente en el propio material del investigador y no ha sido confirmada por Microsoft ni por expertos independientes.
Papel de Windows Defender Offline Scan
Merece mención aparte la afirmación de Chaotic Eclipse sobre la relación de la vulnerabilidad con la función de análisis sin conexión de Windows Defender. Según el investigador, los sistemas en los que se haya ejecutado al menos una vez el análisis sin conexión de Defender podrían ser especialmente vulnerables a este método de elusión. Si el análisis sin conexión nunca se ha iniciado, el atacante, supuestamente, necesitaría o bien iniciar sesión en el sistema y ejecutarlo por su cuenta, o bien encontrar la forma de arrancar WinRE en estado de análisis sin conexión. El investigador señala que, en su opinión, esto último es posible incluso sin autenticación. Sin embargo, estas afirmaciones proceden de una única fuente no verificada y deben tratarse con extrema cautela.
Productos afectados y estado de explotación
Con base en los datos disponibles, potencialmente se ven afectados los siguientes componentes:
- Windows BitLocker, cifrado completo de disco
- Windows Recovery Environment (WinRE), entorno de recuperación
- Microsoft Defender Offline Scan, función de análisis sin conexión
Estado de explotación: PoC público disponible. Por el momento no hay indicios de explotación activa en ataques reales. No se ha publicado una puntuación CVSS para GreatXML y no se le ha asignado un identificador CVE.
Contexto: actividad del investigador
GreatXML no es la primera publicación de Chaotic Eclipse relacionada con la elusión de BitLocker. Según los datos disponibles, anteriormente el investigador publicó un método de bypass denominado YellowKey. Además, poco antes de GreatXML presentó la herramienta RoguePlanet, descrita como una vulnerabilidad de elevación de privilegios en Microsoft Defender. Sin embargo, para ambas herramientas faltan confirmaciones por parte de fuentes autorizadas en los materiales disponibles, por lo que su relevancia y operatividad siguen siendo cuestionables.
Evaluación del impacto
Si el método GreatXML funciona realmente tal como se describe, las posibles consecuencias son graves: la elusión de BitLocker implica acceso a los datos de un disco cifrado, lo que neutraliza por completo la protección del cifrado completo de disco. Están especialmente expuestos a este riesgo:
- Organizaciones que dependen de BitLocker como mecanismo principal de protección de datos en los equipos finales
- Escenarios de acceso físico al dispositivo, como portátiles robados o extraviados
- Entornos en los que la partición de recuperación es escribible por usuarios sin privilegios
Una limitación significativa es que el ataque requiere la posibilidad de escribir archivos en la partición de recuperación, algo que en la configuración estándar de Windows solo está disponible para usuarios con privilegios. Esto reduce la aplicabilidad práctica del método en ataques remotos, pero no elimina la amenaza en caso de acceso físico o en combinación con otras vulnerabilidades de elevación de privilegios.
Recomendaciones de protección
Hasta que exista una posición oficial de Microsoft y, posiblemente, un parche, es razonable adoptar las siguientes medidas preventivas:
- Restringir el acceso a la partición de recuperación: asegurarse de que la partición Recovery no esté montada y no sea escribible por usuarios normales. El estado actual puede comprobarse mediante
diskpartomountvol. - Controlar la integridad de los archivos de WinRE: vigilar la aparición de archivos
unattend.xmlinusuales y cambios enReAgent.xmlen la partición de recuperación. - Restringir el arranque en WinRE: valorar la configuración de UEFI/BIOS para limitar las opciones de arranque alternativas, incluida la fijación de una contraseña de BIOS.
- Reforzar la seguridad física de los dispositivos: para sistemas críticos, aplicar capas adicionales de protección —TPM con PIN, Secure Boot, control de acceso físico—.
- Monitorización: configurar alertas sobre eventos de reinicio en WinRE y cambios en la partición de recuperación a través de una solución SIEM.
La prioridad de respuesta es media: el PoC público está disponible, pero requiere acceso local y capacidad de escritura en la partición del sistema. Las organizaciones para las que BitLocker es un elemento clave de protección de datos deben comprobar de inmediato los permisos de acceso a la partición de recuperación y la configuración de arranque, así como seguir de cerca la aparición de una respuesta oficial de Microsoft sobre este problema.
