- 27,545
- 46
- 8 Ноя 2022
Nightmare-Eclipse опубликовал метод обхода BitLocker через среду восстановления Windows.
Иногда защита ломается не через сложную атаку, а через необычное сочетание штатных функций Windows. Специалист под псевдонимами Chaotic Eclipse, Nightmare-Eclipse и MSNightmare опубликовал новый способ обхода BitLocker , который получил название GreatXML и, по его словам, позволяет получить доступ к зашифрованному тому через среду восстановления Windows.
Chaotic Eclipse утверждает , что нашёл проблему случайно всего за четыре часа. По его версии, уязвимыми могут оказаться системы, на которых хотя бы раз запускали автономную проверку Microsoft Defender . Для атаки нужно поместить подготовленные XML-файлы в корень раздела восстановления, затем перезагрузить компьютер в среду восстановления Windows. Если действия выполнены верно, открывается командная строка с доступом к тому, защищённому BitLocker.
Пока опасность GreatXML выглядит спорной. Специалист Уилл Дорман проверил опубликованные шаги и назвал описание некорректным. В его тестах командная строка появлялась только при следующем запуске автономной проверки Microsoft Defender. Чтобы запустить такую проверку, пользователь должен уже войти в Windows и иметь права администратора. В такой ситуации, по словам Дормана, злоумышленник и без GreatXML может отключить BitLocker штатными средствами.
Сам Chaotic Eclipse допускает, что если автономная проверка Microsoft Defender ранее не запускалась, атакующему придётся сначала включить её вручную или найти другой способ загрузить среду восстановления в нужном режиме. Это заметно сужает практическую ценность атаки, хотя полностью не снимает вопросы к поведению Windows при работе с разделом восстановления.
GreatXML появился всего через день после того, как Chaotic Eclipse опубликовал другой код, связанный с уязвимостью RoguePlanet в Microsoft Defender. Та проблема, по заявлению автора, позволяет повысить привилегии до уровня SYSTEM и выполнять произвольные действия на компьютере.
Новый обход BitLocker стал уже второй подобной находкой Chaotic Eclipse после YellowKey , также известной как CVE-2026-45585 (CVSS:3.1/AV
/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 6.8 Medium). Исправления для YellowKey Microsoft выпустила в рамках планового набора обновлений. По данным Microsoft, предыдущие уязвимости этого автора не передавались компании через официальные каналы до публичного раскрытия.
Microsoft уже сообщала, что изучает заявления по RoguePlanet. На момент публикации сведений о GreatXML компания не дала отдельного комментария. Поэтому пользователям пока остаётся установить свежие обновления Windows и осторожно относиться к новым заявлениям об обходе BitLocker, особенно когда условия атаки ещё проверяют независимые специалисты.
Иногда защита ломается не через сложную атаку, а через необычное сочетание штатных функций Windows. Специалист под псевдонимами Chaotic Eclipse, Nightmare-Eclipse и MSNightmare опубликовал новый способ обхода BitLocker , который получил название GreatXML и, по его словам, позволяет получить доступ к зашифрованному тому через среду восстановления Windows.
Chaotic Eclipse утверждает , что нашёл проблему случайно всего за четыре часа. По его версии, уязвимыми могут оказаться системы, на которых хотя бы раз запускали автономную проверку Microsoft Defender . Для атаки нужно поместить подготовленные XML-файлы в корень раздела восстановления, затем перезагрузить компьютер в среду восстановления Windows. Если действия выполнены верно, открывается командная строка с доступом к тому, защищённому BitLocker.
Пока опасность GreatXML выглядит спорной. Специалист Уилл Дорман проверил опубликованные шаги и назвал описание некорректным. В его тестах командная строка появлялась только при следующем запуске автономной проверки Microsoft Defender. Чтобы запустить такую проверку, пользователь должен уже войти в Windows и иметь права администратора. В такой ситуации, по словам Дормана, злоумышленник и без GreatXML может отключить BitLocker штатными средствами.
Сам Chaotic Eclipse допускает, что если автономная проверка Microsoft Defender ранее не запускалась, атакующему придётся сначала включить её вручную или найти другой способ загрузить среду восстановления в нужном режиме. Это заметно сужает практическую ценность атаки, хотя полностью не снимает вопросы к поведению Windows при работе с разделом восстановления.
GreatXML появился всего через день после того, как Chaotic Eclipse опубликовал другой код, связанный с уязвимостью RoguePlanet в Microsoft Defender. Та проблема, по заявлению автора, позволяет повысить привилегии до уровня SYSTEM и выполнять произвольные действия на компьютере.
Новый обход BitLocker стал уже второй подобной находкой Chaotic Eclipse после YellowKey , также известной как CVE-2026-45585 (CVSS:3.1/AV
/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 6.8 Medium). Исправления для YellowKey Microsoft выпустила в рамках планового набора обновлений. По данным Microsoft, предыдущие уязвимости этого автора не передавались компании через официальные каналы до публичного раскрытия. Microsoft уже сообщала, что изучает заявления по RoguePlanet. На момент публикации сведений о GreatXML компания не дала отдельного комментария. Поэтому пользователям пока остаётся установить свежие обновления Windows и осторожно относиться к новым заявлениям об обходе BitLocker, особенно когда условия атаки ещё проверяют независимые специалисты.
- Источник новости
- www.securitylab.ru
