Forscher veröffentlicht „GreatXML“: Zero-Day umgeht BitLocker über Defender-Offlinescan

Zusammenfassung

Der Sicherheitsforscher Nightmare Eclipse hat mit „GreatXML“ einen neuen BitLocker-Bypass für Windows veröffentlicht. Der Proof of Concept zielt auf eine Schwachstelle in der Offlinescan-Funktion von Microsoft Defender und ermöglicht es, im Wiederherstellungsmodus eine Eingabeaufforderung mit SYSTEM-Rechten zu starten. Nach Darstellung des Forschers werden Systeme anfällig, sobald ein Defender-Offlinescan mindestens einmal angestoßen wurde. Wird das System danach im Wiederherstellungsmodus neu gestartet, soll sich auf das durch BitLocker geschützte Volume uneingeschränkt zugreifen lassen. Die Veröffentlichung folgt nur einen Tag auf „RoguePlanet“, eine weitere von Nightmare Eclipse publizierte Zero-Day-Schwachstelle in Microsoft Defender, die zu lokaler Rechteausweitung auf SYSTEM führt.

Laut SecurityWeek hat Nightmare Eclipse den neuen Exploit unter dem Namen „GreatXML“ veröffentlicht. Die Schwachstelle betrifft die Offlinescan-Funktion von Microsoft Defender. Der Forscher beschreibt, dass sich damit BitLocker umgehen und in der Windows-Wiederherstellungsumgebung eine Kommandozeile mit SYSTEM-Berechtigungen starten lässt.

Der veröffentlichte Proof of Concept besteht aus einer XML-Datei und einem Recovery-Ordner, der eine weitere XML-Datei enthält. Diese Dateien müssen in das Stammverzeichnis der Wiederherstellungspartition kopiert werden. Anschließend wird das System durch Gedrückthalten der Umschalttaste beim Klick auf „Neu starten“ in den Wiederherstellungsmodus gebootet. Nach dem Neustart erhält der Nutzer laut Beschreibung uneingeschränkten Zugriff auf das mit BitLocker geschützte Volume.

Nach Angaben von Nightmare Eclipse werden alle Systeme automatisch verwundbar, auf denen mindestens einmal ein Offlinescan initiiert wurde. Jede Windows-Maschine werde demnach anfällig für GreatXML, sobald die Offlineprüfung von Defender gestartet wurde. Ein Angreifer müsse die Funktion daher lediglich auslösen, bevor er den Exploit ausführt.

Für Systeme, auf denen Defender-Offlinescan nie gestartet wurde, nennt der Forscher zwei Wege: Man müsse sich entweder anmelden und den Scan selbst anstoßen oder einen Weg finden, direkt in die Windows-Wiederherstellungsumgebung im Zustand eines Offlinescans zu booten. Dazu erklärte Nightmare Eclipse, er halte es für sehr gut möglich, dies auch ohne Anmeldung umzusetzen.

GreatXML erschien nur einen Tag nach „RoguePlanet“. Diese ebenfalls von Nightmare Eclipse veröffentlichte Zero-Day-Schwachstelle in Microsoft Defender ermöglicht eine lokale Rechteausweitung auf SYSTEM. Der Forscher, auch unter dem Namen Chaotic Eclipse bekannt, hat in jüngerer Zeit mehrere Exploits für Zero-Day-Lücken in Windows veröffentlicht. Hintergrund ist nach Angaben des Berichts seine Unzufriedenheit mit Microsofts Umgang mit Forschern, die an den Programmen zur Offenlegung von Schwachstellen teilnehmen.

Microsoft bemüht sich laut SecurityWeek derzeit darum, mehrere der öffentlich bekannt gewordenen Schwachstellen zu beheben. Dazu zählen BlueHammer, RedSun und UnDefend, die bereits bei Angriffen ausgenutzt wurden. GreenPlasma und YellowKey hat das Unternehmen mit den Patch-Tuesday-Updates vom Juni 2026 geschlossen.

Forscher veröffentlicht „GreatXML“: Zero-Day umgeht BitLocker über Defender-Offlinescan

Ähnliche Artikel

Neueste Artikel