Дослідник з кібербезпеки, відомий під псевдонімами Chaotic Eclipse, Nightmare-Eclipse та MSNightmare, опублікував на GitHub публічний proof-of-concept експлойт під назвою GreatXML, який демонструє метод обходу шифрування Windows BitLocker. Техніка використовує маніпуляцію XML-конфігураційними файлами та завантаження в Windows Recovery Environment (WinRE) для отримання необмеженого доступу до зашифрованого тому. Публікація PoC означає, що технічні деталі атаки стали доступні широкому колу осіб, хоча на момент публікації незалежна верифікація методу з боку Microsoft відсутня.
Механізм експлуатації
Згідно з описом у блозі дослідника та даними публічного репозиторію, атака GreatXML складається з двох ключових етапів:
- Розміщення XML-файлів на розділі відновлення: зловмисник копіює файл
unattend.xmlі структуру каталогівRecovery/WindowsRE/ReAgent.xmlу корінь розділу відновлення системи. - Перезавантаження в середовище відновлення Windows: виконується завантаження в WinRE — наприклад, утримуванням клавіші Shift під час натискання «Перезавантаження» в меню живлення Windows.
За заявою дослідника, у разі коректного виконання цих кроків відкривається командна оболонка з необмеженим доступом до тому, захищеного BitLocker. Важливо підкреслити: це твердження ґрунтується виключно на матеріалах самого дослідника й не підтверджене Microsoft або незалежними експертами.
Роль Windows Defender Offline Scan
Окремої уваги заслуговує твердження Chaotic Eclipse про зв’язок вразливості з функцією автономного сканування Windows Defender. За словами дослідника, системи, на яких хоча б раз запускалося автономне сканування Defender, можуть бути особливо вразливими до цього методу обходу. Якщо ж автономне сканування ніколи не ініціювалося, зловмиснику, ймовірно, доведеться або увійти в систему та запустити його самостійно, або знайти спосіб завантажити WinRE у стані автономного сканування. Дослідник зазначає, що останнє, на його думку, можливе й без авторизації. Втім, ці твердження походять з єдиного неперевіреного джерела й потребують максимально обережного ставлення.
Потенційно вразливі продукти та статус експлуатації
На підставі наявних даних, потенційно зачеплені такі компоненти:
- Windows BitLocker — повнодискове шифрування
- Windows Recovery Environment (WinRE) — середовище відновлення
- Microsoft Defender Offline Scan — функція автономного сканування
Статус експлуатації: доступний публічний PoC. Свідчень активної експлуатації в реальних атаках наразі немає. Оцінка CVSS для GreatXML не опублікована, ідентифікатор CVE не присвоєний.
Контекст: активність дослідника
GreatXML — не перша публікація Chaotic Eclipse, пов’язана з обходом BitLocker. Згідно з наявними даними, раніше дослідник опублікував метод обходу під назвою YellowKey. Крім того, незадовго до GreatXML був представлений інструмент RoguePlanet, який описується як вразливість підвищення привілеїв у Microsoft Defender. Однак для обох цих інструментів у доступних матеріалах відсутні підтвердження з авторитетних джерел, тож їхня значущість і працездатність залишаються під питанням.
Оцінка впливу
Якщо метод GreatXML справді працює так, як описано, потенційні наслідки є серйозними: обхід BitLocker означає доступ до даних на зашифрованому диску, що повністю нівелює захист повнодискового шифрування. Найбільшому ризику піддаються:
- Організації, які покладаються на BitLocker як на основний механізм захисту даних на кінцевих пристроях
- Сценарії фізичного доступу до пристрою — викрадені або втрачені ноутбуки
- Середовища, де розділ відновлення доступний для запису непривілейованим користувачам
Суттєве обмеження: атака вимагає можливості запису файлів на розділ відновлення, що у стандартній конфігурації Windows доступно лише привілейованим користувачам. Це знижує практичну застосовність методу в віддалених атаках, але не усуває загрозу за наявності фізичного доступу або в поєднанні з іншими вразливостями підвищення привілеїв.
Рекомендації щодо захисту
До появи офіційної позиції Microsoft і, можливо, патча, доцільно вжити такі превентивні заходи:
- Обмежити доступ до розділу відновлення: переконатися, що розділ Recovery не змонтований і недоступний для запису звичайним користувачам. Перевірити поточний стан можна через
diskpartабоmountvol. - Контролювати цілісність файлів WinRE: відстежувати появу нетипових файлів
unattend.xmlі зміни вReAgent.xmlна розділі відновлення. - Обмежити завантаження в WinRE: розглянути можливість налаштування UEFI/BIOS для обмеження альтернативних варіантів завантаження, включно з установленням пароля на BIOS.
- Посилити фізичну безпеку пристроїв: для критичних систем застосовувати додаткові рівні захисту — TPM з PIN-кодом, Secure Boot, контроль фізичного доступу.
- Моніторинг: налаштувати сповіщення на події перезавантаження в WinRE та зміни на розділі відновлення через SIEM.
Пріоритет реагування — середній: публічний PoC доступний, але вимагає локального доступу та можливості запису на системний розділ. Організаціям, для яких BitLocker є ключовим елементом захисту даних, слід негайно перевірити права доступу до розділу відновлення й налаштування завантаження, а також відстежувати появу офіційної відповіді Microsoft щодо цієї проблеми.
