Nach Darstellung von Chaotic Eclipse führt GreatXML bei korrekt ausgeführten Schritten zu einer gestarteten Shell mit uneingeschränktem Zugriff auf das BitLocker-Volume. Der Forscher beschrieb die Methode in einem Blogger-Beitrag und machte deutlich, dass der Angriffsweg mit dem Zustand von Windows Defender Offline Scan zusammenhängt.
Wurde Defender Offline Scan auf einem System noch nie gestartet, müsse man sich entweder zunächst anmelden und den Scan selbst anstoßen oder einen Weg finden, in WinRE in einem Offline-Scan-Zustand zu booten, so Chaotic Eclipse. Der Forscher ergänzte, dass dies seiner Einschätzung nach sehr wahrscheinlich auch ohne Anmeldung möglich sein sollte.
Die Veröffentlichung von GreatXML erfolgte kurz nach RoguePlanet. Dabei handelt es sich um eine Zero-Day-Schwachstelle in Microsoft Defender, die eine lokale Rechteausweitung auf SYSTEM ermöglicht. Laut Beschreibung erlaubt RoguePlanet einem Angreifer, beliebigen Code auszuführen oder nicht autorisierte Aktionen vorzunehmen.
GreatXML ist zudem bereits der zweite von Chaotic Eclipse veröffentlichte BitLocker-Bypass. Zuvor hatte der Forscher mit YellowKey eine weitere Methode öffentlich gemacht, die auch unter der Kennung CVE-2026-45585 geführt wird. Microsoft hat in dieser Woche im Rahmen der Patch-Tuesday-Updates Korrekturen für YellowKey bereitgestellt.
Der neue Bypass knüpft damit an eine kurze Folge von Veröffentlichungen des Forschers an: zuerst ein Exploit für Microsoft Defender, dann GreatXML als weiterer Ansatz gegen Sicherheitsmechanismen von Windows. Konkrete technische Zusatzdetails über die XML-Dateien der Wiederherstellungspartition oder weitere Voraussetzungen des Angriffs nennt der vorliegende Bericht nicht über die Aussagen des Forschers hinaus.