Обнаружена уязвимость нулевого дня, получившая название GreatXML. Она затрагивает подсистемы Windows, отвечающие за офлайн-сканирование Windows Defender (Windows Defender Offline Scan) и среду восстановления Windows (WinRE). Проблема позволяет злоумышленнику с физическим доступом обойти шифрование BitLocker и получить неограниченный доступ к зашифрованному тому без аутентификации. На момент написания статьи официальный идентификатор CVE не присвоен, а корпорация Microsoft не выпустила исправление.
Детали уязвимости
Исследователь, известный под псевдонимом MSNightmare (Nightmare Eclipse), опубликовал доказательство эксплуатации (PoC) и соответствующий репозиторий на GitHub. Согласно описанию, уязвимость связана с тем, как Windows обрабатывает конфигурации загрузки восстановления и файлы автоматической установки (unattend.xml) в сценариях офлайн-сканирования. Атакующий может разместить специально сформированный файл unattend.xml вместе с изменённым каталогом Recovery в корне системного раздела восстановления. Принудительная загрузка в WinRE - например, через последовательность Shift+Restart - приводит к тому, что среда обрабатывает вредоносную конфигурацию. В результате открывается привилегированная командная оболочка с прямым доступом к защищённому BitLocker тому.
Наибольшую тревогу вызывает устойчивый характер этой уязвимости. Исследователь утверждает, что любая система, на которой хотя бы раз выполнялось офлайн-сканирование Windows Defender, становится уязвимой, даже если сканирование проводилось в прошлом. Это указывает на то, что артефакты или изменения конфигурации, внесённые во время офлайн-сканирования, не удаляются и не защищаются должным образом, ослабляя границу доверия между средой восстановления и зашифрованным томом операционной системы. Если же функция ещё не использовалась, злоумышленник может попытаться инициировать или имитировать офлайн-сканирование, хотя этот вектор пока менее определён.
С технической точки зрения атака обходит модель защиты BitLocker не за счёт криптографических слабостей, а используя доверенные предположения в предзагрузочных и восстановительных рабочих процессах. BitLocker предназначен для защиты данных в состоянии покоя, особенно от атак при физическом доступе. Однако если злоумышленник может выполнить произвольный код в WinRE с повышенными привилегиями и доступом к смонтированным томам, шифрование теряет смысл. Это вписывается в более широкий класс атак, нацеленных на предзагрузочные среды, где контроль безопасности часто менее строг.
Публикация PoC демонстрирует низкую сложность и высокую воспроизводимость уязвимости. Это создаёт реальные риски в сценариях с потерянными или украденными устройствами, совместным физическим доступом или попытками обхода криминалистических экспертиз. Специалистам по информационной безопасности рекомендуется отслеживать обновления Microsoft и рассмотреть временные меры защиты: ограничение физического доступа, аудит использования WinRE и пересмотр политик развёртывания офлайн-сканирования Windows Defender. Организации, которые полагаются на BitLocker для защиты оконечных устройств, должны переоценить свои модели угроз с учётом возможных атак через предзагрузочные и восстановительные среды - эта поверхность атаки становится всё более критичной.
Ссылки
