GreatXML: nowa technika obejścia BitLockera przez pliki XML w partycji odzyskiwania Windows - Security Bez Tabu

GreatXML: nowa technika obejścia BitLockera przez pliki XML w partycji odzyskiwania Windows

Cybersecurity news

Wprowadzenie do problemu / definicja

GreatXML to ujawniona w czerwcu 2026 roku technika obejścia zabezpieczeń Microsoft BitLocker w systemie Windows, wykorzystująca środowisko odzyskiwania Windows Recovery Environment oraz pliki konfiguracyjne XML zapisane na partycji recovery. Problem jest istotny, ponieważ dotyczy jednego z najważniejszych mechanizmów ochrony danych spoczywających na laptopach i stacjach roboczych, szczególnie w przypadku utraty urządzenia, kradzieży lub uzyskania nieautoryzowanego dostępu fizycznego.

W praktyce GreatXML nie oznacza złamania samego szyfrowania BitLockera. To obejście bazujące na nadużyciu zaufanych komponentów rozruchowych i odzyskiwania, które mogą uruchamiać określone działania jeszcze przed standardowym logowaniem użytkownika.

W skrócie

Opisana metoda została zaprezentowana przez badacza bezpieczeństwa działającego pod pseudonimem Chaotic Eclipse. Atak ma polegać na umieszczeniu odpowiednio przygotowanych plików, takich jak unattend.xml oraz ReAgent.xml, na partycji odzyskiwania, a następnie uruchomieniu systemu w WinRE.

  • Atak wykorzystuje pliki XML związane z procesem odzyskiwania systemu.
  • Scenariusz zakłada lokalny lub fizyczny dostęp do urządzenia.
  • Celem jest uzyskanie powłoki z szerokim dostępem do woluminu chronionego przez BitLocker.
  • Nie jest to exploit zdalny, lecz technika post-exploitation lub ataku ukierunkowanego.

Część badaczy zwraca jednak uwagę, że praktyczna skuteczność tej metody może zależeć od konkretnej konfiguracji systemu i nie zawsze musi być łatwa do powtórzenia.

Kontekst / historia

Publikacja GreatXML pojawiła się krótko po innym głośnym ujawnieniu tego samego autora, dotyczącym podatności RoguePlanet w Microsoft Defender. GreatXML jest także kolejną po YellowKey publicznie opisaną techniką obchodzenia ochrony BitLockera powiązaną z tym badaczem.

Szerszy kontekst tej klasy problemów jest bardzo ważny. Szyfrowanie dysku ma przede wszystkim chronić dane przed nieautoryzowanym odczytem offline. Jeśli jednak napastnik może wpłynąć na środowisko rozruchowe, mechanizmy odzyskiwania lub pliki ładowane przed pełnym startem systemu, realne bezpieczeństwo zależy już nie tylko od algorytmów kryptograficznych, ale od integralności całego łańcucha uruchamiania.

Analiza techniczna

Z technicznego punktu widzenia GreatXML wykorzystuje relację między Windows Recovery Environment, mechanizmami naprawy systemu i plikami XML używanymi do automatyzacji działań w trakcie rozruchu lub odzyskiwania. W opisywanym scenariuszu atakujący kopiuje na partycję recovery przygotowane wcześniej pliki, w tym unattend.xml oraz strukturę odzyskiwania zawierającą plik Recovery/WindowsRE/ReAgent.xml.

Następnie system jest uruchamiany w środowisku WinRE, na przykład przez użycie opcji Shift + Restart. Według opisu badacza prawidłowe wykonanie tych czynności może doprowadzić do uruchomienia powłoki z dostępem do danych znajdujących się na woluminie chronionym przez BitLocker.

Kluczowy problem dotyczy zaufania, jakim środowisko odzyskiwania obdarza określone pliki konfiguracyjne obecne na partycji odzyskiwania. Jeśli komponent rozruchowy lub odzyskiwania interpretuje dostarczone ustawienia XML bez odpowiedniej walidacji integralności i pochodzenia, napastnik może przejąć kontrolę nad sekwencją działań wykonywanych w WinRE.

W takim modelu BitLocker nie zostaje złamany kryptograficznie. Ochrona jest omijana poprzez manipulację zaufaną ścieżką systemową działającą przed standardowym uwierzytelnieniem użytkownika. To ważne rozróżnienie, ponieważ pokazuje, że słabość może leżeć poza samym mechanizmem szyfrowania.

Jednocześnie pojawiły się zastrzeżenia dotyczące odtwarzalności ataku. Krytyczne komentarze wskazują, że samo uruchomienie WinRE może nie wystarczyć do wywołania wszystkich warunków niezbędnych do skutecznego wykorzystania GreatXML. W części środowisk wymagane może być wcześniejsze użycie Microsoft Defender Offline lub spełnienie dodatkowych warunków konfiguracyjnych.

Konsekwencje / ryzyko

Ryzyko związane z GreatXML należy rozpatrywać głównie w scenariuszu ataku lokalnego albo przy fizycznym dostępie do urządzenia. Jeśli napastnik może modyfikować zawartość partycji odzyskiwania i kontrolować restart do WinRE, potencjalnie zyskuje drogę do obejścia ochrony danych, które powinny być zabezpieczone przez BitLocker.

  • Możliwy staje się odczyt danych z zaszyfrowanego woluminu bez standardowej autoryzacji użytkownika.
  • Osłabieniu ulegają założenia bezpieczeństwa laptopów i stacji roboczych używanych w środowiskach firmowych.
  • Rośnie ryzyko po kradzieży sprzętu lub po krótkim fizycznym dostępie insidera do urządzenia.
  • Technika może być łączona z lokalną eskalacją uprawnień i innymi metodami post-exploitation.

Nie należy jednak przeceniać charakteru zagrożenia. GreatXML nie jest zdalnym exploitem umożliwiającym masową kompromitację przez sieć. To raczej narzędzie zwiększające skuteczność ataków ukierunkowanych, zwłaszcza tam, gdzie przeciwnik ma czas na manipulację środowiskiem startowym systemu.

Rekomendacje

Organizacje korzystające z BitLockera powinny potraktować GreatXML jako sygnał do przeglądu zabezpieczeń wokół procesu rozruchu i środowiska odzyskiwania, a nie wyłącznie samego szyfrowania dysku.

  • Regularnie aktualizować system Windows oraz poprawki związane z BitLockerem, WinRE i Microsoft Defender.
  • Ograniczyć możliwość lokalnej eskalacji uprawnień i ściśle kontrolować dostęp administracyjny.
  • Monitorować integralność partycji odzyskiwania oraz plików wykorzystywanych przez WinRE.
  • Rozważyć ograniczenie zbędnych funkcji odzyskiwania tam, gdzie polityka bezpieczeństwa na to pozwala.
  • Stosować TPM, Secure Boot oraz polityki utrudniające nieautoryzowane uruchamianie środowisk serwisowych.
  • Wzmocnić kontrolę fizycznego dostępu do urządzeń końcowych, szczególnie tych zawierających dane wrażliwe.
  • Przeprowadzić testy laboratoryjne lub ćwiczenia red team, aby sprawdzić, czy konkretna konfiguracja Windows jest podatna na ten scenariusz.
  • Ująć nadużycia WinRE i partycji recovery w procedurach reagowania na incydenty.

Z perspektywy SOC i zespołów bezpieczeństwa endpointów szczególnie ważne będzie wykrywanie nieautoryzowanych plików unattend.xml, nietypowych zmian w strukturze partycji recovery oraz anomalii związanych z uruchamianiem systemu w trybie odzyskiwania.

Podsumowanie

GreatXML pokazuje, że skuteczność ochrony danych zapewnianej przez BitLocker zależy nie tylko od samego szyfrowania, ale również od bezpieczeństwa komponentów pomocniczych, takich jak WinRE i mechanizmy odzyskiwania. Opisana technika nie oznacza kryptograficznego złamania BitLockera, lecz potencjalne obejście jego ochrony przez manipulację zaufanym środowiskiem rozruchowym.

Nawet jeśli praktyczna odtwarzalność ataku może zależeć od wersji systemu i spełnienia dodatkowych warunków, przypadek GreatXML stanowi wyraźne ostrzeżenie dla organizacji: bezpieczeństwo szyfrowania dysku jest tak silne, jak najsłabszy element całego łańcucha uruchamiania i odzyskiwania systemu.

Źródła

  1. https://thehackernews.com/2026/06/new-greatxml-exploit-bypasses-windows.html
  2. https://github.com/Nightmare-Eclipse/GreatXML
  3. https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-offline
  4. https://support.microsoft.com/windows/windows-recovery-environment-0eb14733-6301-41ac-b58f-fd4302f7e1c6
  5. https://msrc.microsoft.com/update-guide/