- Pesquisador Nightmare Eclipse divulgou o exploit GreatXML, oitava zero-day, que segundo ele contorna a criptografia BitLocker em Windows; o código foi publicado no GitHub e em outras plataformas.
- O ataque envolve copiar unattend.xml e a pasta Recovery para a raiz da partição de recuperação e reiniciar o sistema com Shift para entrar no WinRE, abrindo shell com acesso irrestrito ao volume protegido.
- O especialista Will Dormann testou o método e o classificou como falho; segundo ele, o prompt de comando aparece apenas se a varredura do Defender Offline já tiver sido executada, e apenas com credenciais de administrador. Dormann também testou em três versões do Windows 11 sem reproduzir o comportamento descrito.
- O GreatXML foi divulgado um dia após RoguePlanet, outro zero-day de Nightmare Eclipse; ao todo, oito zero-days foram divulgados pelo pesquisador, sendo que seis já receberam correções pela Microsoft nesta Patch Tuesday.
- A Microsoft confirmou investigação sobre RoguePlanet, não comentou o GreatXML nem informou quando poderá lançar uma correção; a empresa disse que nenhuma vulnerabilidade foi reportada por canais oficiais antes da divulgação e chegou a banir a conta do pesquisador no GitHub, cogitando ação legal.
Pesquisador conhecido como Nightmare Eclipse revelou nesta quarta-feira o exploit GreatXML, afirmando que ele contorna a criptografia BitLocker em Windows. O código foi publicado no GitHub e em outras plataformas. Trata-se do oitavo zero-day divulgado pelo pesquisador.
Segundo o autor, a falha seria uma “descoberta acidental” e levaria apenas quatro horas para ser identificada. A afirmação é de que a brecha funciona em máquinas que já passaram por uma varredura do Microsoft Defender Offline em algum momento.
O ataque seria iniciado com a cópia dos arquivos unattend.xml e Recovery para a raiz da partição de recuperação. Em seguida, o usuário precisa reiniciar o sistema com Shift, abrindo o WinRE e obtendo um shell com acesso total aos dados protegidos.
Especialista em segurança Will Dormann tentou reproduzir o método. Em seus testes, o prompt de comando apareceu apenas após uma varredura completa do Defender Offline ter sido executada. Dormann aponta que, para acionar a varredura, a vítima precisa estar logada com privilégios de administrador.
Segundo Dormann, o raciocínio central do GreatXML não se sustenta. Quem já possui acesso admin poderia desativar o BitLocker sem o exploit. O pesquisador conduziu os testes em três versões do Windows 11 e não obteve o comportamento descrito.
O GreatXML foi divulgado um dia após o anúncio do RoguePlanet, outro exploit de escalonamento de privilégios. Juntos, somam oito zero-days atribuídos ao pesquisador, sendo que os seis anteriores já receberam correções da Microsoft nesta semana.
A Microsoft confirmou que investiga a validade do RoguePlanet, mas não comentou sobre o GreatXML nem informou se pretende lançar uma correção. A empresa também informou ter bloqueado a conta do pesquisador no GitHub e avaliou ações legais, após críticas da comunidade de segurança.
Entre na conversa da comunidade