Очередная публикация исследователя, работающего под псевдонимом MSNightmare, вновь привлекла внимание профессионального сообщества к проблемам защиты корпоративных данных. На сей объектом атаки стала технология полнодискового шифрования BitLocker - то самое средство, которое Microsoft позиционирует как основную защиту от доступа к данным в случае кражи или потери устройства. Специалист представил рабочий прототип, получивший название GreatXML, и этот релиз стал восьмым за последние десять недель.
Описание
Суть обнаруженной техники заключается в злоупотреблении штатным состоянием среды восстановления Windows. Инструмент использует модифицированный системный unattend.xml-файл (файл автоматической настройки), который помещается в корень раздела восстановления. В сочетании с измененной директорией Recovery этот артефакт позволяет при следующей загрузке в среду восстановления получить оболочку с неограниченным доступом к зашифрованному тому. Ключевая особенность в том, что для запуска атаки не требуется аутентифицированная сессия: достаточно нажать Shift и Restart с экрана блокировки.
Принципиальный момент касается условий эксплуатации. Для записи файлов в корень раздела восстановления атакующий должен обладать правами администратора. Это означает, что GreatXML не является вектором начального проникновения, а представляет собой инструмент для закрепления в системе и получения доступа к данным после того, как привилегии уже получены. Злоумышленник однократно размещает вредоносные файлы и покидает систему. Смена учётных записей, сброс паролей и потеря удалённого доступа не удаляют размещённые артефакты. Любой, кто получит физический доступ к устройству, сможет использовать комбинацию Shift и Restart, войти в среду восстановления и прочитать зашифрованный раздел без ключа восстановления.
Исследователи из команды Cyderes Howler Cell подтвердили работоспособность концепта на полностью обновлённой версии Windows 11. При этом важно подчеркнуть, что найденный недостаток не является классической уязвимостью в памяти или ошибкой реализации криптографических примитивов. Речь идёт о дизайнерской недоработке, связанной с тем, как среда восстановления Windows обрабатывает файлы ответов после того, как на устройстве был запущен автономный сканер Defender. Именно этот специфический режим работы и создаёт условия для атаки.
Чтобы понять контекст, необходимо взглянуть на другие публикации этого же автора. Начиная с апреля 2026 года, MSNightmare последовательно атакует компоненты, которые Microsoft позиционирует как элементы безопасности: сам Defender, механизмы повышения привилегий и теперь - шифрование диска. Шесть из семи ранее опубликованных прототипов были направлены именно на те подсистемы, которые корпорация рекламирует как гарантии защиты. Это не случайный набор ошибок. Это методичное исследование и демонстрация слабых мест в ядре безопасности операционной системы.
С точки зрения практического применения, GreatXML вписывается в полноценную цепочку атаки. Сначала злоумышленник получает начальный доступ, затем отключает телеметрию Defender с помощью другого инструмента из этой же серии, после чего использует один из четырёх доступных способов повышения привилегий до уровня системы. Финальным этапом становится размещение файлов для GreatXML, обеспечивающее постоянный доступ к зашифрованным данным вне зависимости от дальнейших действий жертвы.
Техническая реализация атаки состоит из трёх этапов. На первом этапе после получения прав администратора злоумышленник подключает раздел восстановления с помощью diskpart и копирует туда два объекта: вредоносный unattend.xml и модифицированную папку Recovery. На втором этапе он либо дожидается, когда на машине будет запущен автономный сканер Defender, либо инициирует его самостоятельно. После перезагрузки система входит в среду восстановления, где unattend.xml обрабатывается до того, как будут применены штатные проверки безопасности. На третьем этапе открывается командная оболочка с прямым доступом к содержимому диска без запроса ключа BitLocker.
Защитникам сейчас не на что опереться в части исправления корневой причины. Патч не выпущен. Единственной мерой защиты становится детектирование момента размещения файлов. Следует контролировать появление unattend.xml в корне раздела восстановления любыми процессами, не относящимися к Windows Update. Также необходимо отслеживать создание новых директорий в этом разделе несистемными процессами. Вспомогательным индикатором служит запуск автономного сканера Defender из контекста обычного пользователя.
Этот случай наглядно демонстрирует тенденцию: исследователи всё чаще обращаются не к отдельным ошибкам в коде, а к дизайну доверенных компонентов операционной системы. Атака на среду восстановления и файлы автоматической настройки - это удар по механизмам, которые считались безопасными по определению. И пока производитель не пересмотрит логику обработки unattend.xml в контексте автономного сканирования, единственным реальным способом защиты остаётся раннее обнаружение признаков подготовки к атаке.
Индикаторы компрометации
SHA256
- 785ccfa88c1aa0b33a0e9a27c5baf68a8f146b435f57bf0247d5f15878b90389
