ИБ-исследователь Nightmare Eclipse (он же Chaotic Eclipse) опубликовал еще один эксплоит для 0-day-уязвимости в Windows. На этот раз речь идет об обходе BitLocker, который специалист назвал GreatXML. По его словам, проблема затрагивает все системы, где хоть раз запускалась функция Microsoft Defender Offline Scan.
Nightmare Eclipse пишет, что случайно обнаружил этот баг, и на его поиск ушло всего около четырех часов. Для эксплуатации проблемы необходимо скопировать файл unattend.xml и каталог Recovery с файлом ReAgent.xml в корень раздела восстановления, после чего нужно перезагрузить систему в Windows Recovery Environment (WinRE). Если все шаги выполнены корректно, в среде восстановления запускается оболочка с неограниченным доступом к зашифрованному тому BitLocker.
При этом исследователь объясняет, что для корректной работы атаки требуется, чтобы ранее Microsoft Defender Offline Scan запускался хотя бы один раз. Если этого не происходило, злоумышленнику придется самостоятельно инициировать офлайн-сканирование или найти способ перевести систему в соответствующее состояние без входа в учетную запись.
Однако воспроизвести атаку удалось не всем. К примеру, известный ИБ-эксперт Уилл Дорманн (Will Dormann) раскритиковал описание эксплуатации проблемы и назвал его неполным. По результатам тестов Дорманна, простая перезагрузка в WinRE не переводит систему в режим Defender Offline Scan автоматически.
По словам Дорманна, для запуска офлайн-проверки необходимо иметь доступ к системе и административные привилегии, а если атакующий уже обладает такими правами, отключить BitLocker можно другими методами, а не использовать описанную цепочку эксплуатации.
«Описание GreatXML подразумевает, что достаточно один раз выполнить Defender Offline Scan, после чего можно подложить два файла в WinRE и просто перезагрузиться с зажатой клавишей Shift. На практике это не работает ни в одной из протестированных мной веток Windows 11», — пишет эксперт.
Напомним, что GreatXML стал очередным эпизодом затянувшегося конфликта между Nightmare Eclipse и компанией Microsoft. Всего за день до публикации GreatXML исследователь раскрыл 0-day-уязвимость RoguePlanet в Microsoft Defender, которая позволяет повысить привилегии до уровня SYSTEM даже на полностью обновленных системах под управлением Windows 10 и Windows 11.
Теперь, с учетом GreatXML, на счету Nightmare Eclipse уже восемь публично раскрытых 0-day-уязвимостей: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586), MiniPlasma (CVE-2020-17103) и уже упомянутая RoguePlanet. Часть этих проблем инженеры Microsoft исправили в рамках июньского «вторника обновлений».
Ранее исследователь обещал продолжить публикацию неисправленных уязвимостей в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обращаются с ИБ-специалистами. По его словам, в Microsoft угрожали ему и обещали «разрушить его жизнь», а также компания игнорировала его сообщения об уязвимостях, лишила его доступа к учетной записи MSRC и добилась удаления репозиториев с эксплоитами с GitHub и GitLab. Поэтому теперь исследователь дублирует все материалы в собственной инфраструктуре.
