Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

Проверили систему на вирусы? Поздравляем, теперь ваш BitLocker легко обойти за пару минут

leer en español

10914
Nightmare Eclipse Nightmare-Eclipse GreatXML BitLocker Windows WinRE Microsoft Defender шифрование уязвимость
Проверили систему на вирусы? Поздравляем, теперь ваш BitLocker легко обойти за пару минут
Nightmare Eclipse Nightmare-Eclipse GreatXML BitLocker Windows WinRE Microsoft Defender шифрование уязвимость

Атака GreatXML превратила привычную защиту Windows в аварийный вход.

image

Шифрование диска защищает данные только до тех пор, пока среда восстановления не становится слабым звеном. Скандально известный специалист Nightmare Eclipse, раскрыл новую уязвимость в Windows — GreatXML. Она позволяет обойти BitLocker через механизм автономной проверки Windows Defender и среду восстановления Windows WinRE.

Проблема затрагивает сценарии, где система уже запускала Windows Defender Offline Scan. По данным автора, после такой проверки компьютер может остаться в ослабленном состоянии, а человек с физическим доступом к устройству способен получить доступ к зашифрованному тому без ввода пароля или ключа восстановления.

Атака строится не на взломе самого шифрования, а на злоупотреблении доверенными этапами загрузки. Злоумышленник размещает подготовленный файл unattend.xml и изменённый каталог Recovery в корне раздела восстановления, после чего заставляет систему загрузиться в WinRE, например через Shift + Перезагрузка. Среда восстановления обрабатывает вредоносную конфигурацию и запускает привилегированную командную оболочку с доступом к защищённому BitLocker разделу.

Отдельный риск связан с заявленной устойчивостью состояния. Nightmare-Eclipse утверждает, что уязвимой становится любая система, где Windows Defender Offline Scan запускали хотя бы раз. Для компьютеров, где функция не использовалась, возможный путь через принудительный или имитированный запуск автономной проверки описан менее чётко.

На момент публикации у GreatXML нет официального идентификатора CVE, а Microsoft публично не подтверждала проблему. Уязвимость особенно опасна для потерянных и украденных ноутбуков, а также для сред, где к устройствам могут получить физический доступ посторонние.

До появления официальных исправлений администраторам советуют следить за обновлениями Microsoft, ограничить физический доступ к устройствам, проверить использование WinRE и пересмотреть политики запуска Windows Defender Offline Scan. Организациям, которые полагаются на BitLocker для защиты рабочих станций, также стоит учитывать атаки на среду восстановления в своих моделях угроз.