El investigador de seguridad Chaotic Eclipse (también conocido como
Nightmare-Eclipse y MSNightmare) ha publicado una nueva vulnerabilidad para
eludir BitLocker de Windows, denominada
GreatXML, un día después de haber publicado un exploit para Microsoft
Defender.
«Fue un descubrimiento accidental; me llevó cuatro horas encontrarlo»,
declaró el investigador
en una publicación.
«Si alguna vez intentaste usar el análisis sin conexión de Windows
Defender, eres automáticamente vulnerable a un exploit de BitLocker. No
estoy seguro de si aún se puede activar el fallo sin usar la función de
análisis sin conexión, porque sin duda es posible».
El exploit funciona de la siguiente manera:
-
Copie un archivo XML («unattend.xml») y una carpeta de recuperación
que contenga otro archivo XML («Recovery/WindowsRE/ReAgent.xml») a la
raíz de la partición de recuperación. -
Reinicie en el Entorno de Recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en
el menú de inicio de Windows.
Si se siguen todos los pasos correctamente, se generará una shell con
acceso ilimitado al volumen de BitLocker.
«Si nunca se inició el análisis sin conexión de Defender, deberá iniciar
sesión e iniciarlo manualmente o encontrar una manera de arrancar en WinRE
en estado de análisis sin conexión (creo que debería ser posible hacerlo sin
iniciar sesión) y seguir los pasos anteriores», señaló Chaotic Eclipse.
El lanzamiento de GreatXML se produce poco después de
RoguePlanet, una vulnerabilidad de día cero en Microsoft Defender que facilita la
escalada de privilegios local (LPE) a SYSTEM, otorgando al atacante la
capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.
GreatXML es también el segundo exploit para eludir BitLocker publicado
por Chaotic Eclipse después de YellowKey (también conocido como
CVE-2026-45585), cuyos parches fueron publicados por Microsoft esta semana
como parte de las actualizaciones de Patch Tuesday.
Fuente:
THN