Kategoria: Security News

Wprowadzenie do problemu / definicja

GreatXML to ujawniona w czerwcu 2026 roku technika obejścia zabezpieczeń Microsoft BitLocker w systemie Windows, wykorzystująca środowisko odzyskiwania Windows Recovery Environment oraz pliki konfiguracyjne XML zapisane na partycji recovery. Problem jest istotny, ponieważ dotyczy jednego z najważniejszych mechanizmów ochrony danych spoczywających na laptopach i stacjach roboczych, szczególnie w przypadku utraty urządzenia, kradzieży lub uzyskania nieautoryzowanego dostępu fizycznego.

W praktyce GreatXML nie oznacza złamania samego szyfrowania BitLockera. To obejście bazujące na nadużyciu zaufanych komponentów rozruchowych i odzyskiwania, które mogą uruchamiać określone działania jeszcze przed standardowym logowaniem użytkownika.

W skrócie

Opisana metoda została zaprezentowana przez badacza bezpieczeństwa działającego pod pseudonimem Chaotic Eclipse. Atak ma polegać na umieszczeniu odpowiednio przygotowanych plików, takich jak unattend.xml oraz ReAgent.xml, na partycji odzyskiwania, a następnie uruchomieniu systemu w WinRE.

• Atak wykorzystuje pliki XML związane z procesem odzyskiwania systemu.
• Scenariusz zakłada lokalny lub fizyczny dostęp do urządzenia.
• Celem jest uzyskanie powłoki z szerokim dostępem do woluminu chronionego przez BitLocker.
• Nie jest to exploit zdalny, lecz technika post-exploitation lub ataku ukierunkowanego.

Część badaczy zwraca jednak uwagę, że praktyczna skuteczność tej metody może zależeć od konkretnej konfiguracji systemu i nie zawsze musi być łatwa do powtórzenia.

Kontekst / historia

Publikacja GreatXML pojawiła się krótko po innym głośnym ujawnieniu tego samego autora, dotyczącym podatności RoguePlanet w Microsoft Defender. GreatXML jest także kolejną po YellowKey publicznie opisaną techniką obchodzenia ochrony BitLockera powiązaną z tym badaczem.

Szerszy kontekst tej klasy problemów jest bardzo ważny. Szyfrowanie dysku ma przede wszystkim chronić dane przed nieautoryzowanym odczytem offline. Jeśli jednak napastnik może wpłynąć na środowisko rozruchowe, mechanizmy odzyskiwania lub pliki ładowane przed pełnym startem systemu, realne bezpieczeństwo zależy już nie tylko od algorytmów kryptograficznych, ale od integralności całego łańcucha uruchamiania.

Analiza techniczna

Z technicznego punktu widzenia GreatXML wykorzystuje relację między Windows Recovery Environment, mechanizmami naprawy systemu i plikami XML używanymi do automatyzacji działań w trakcie rozruchu lub odzyskiwania. W opisywanym scenariuszu atakujący kopiuje na partycję recovery przygotowane wcześniej pliki, w tym unattend.xml oraz strukturę odzyskiwania zawierającą plik Recovery/WindowsRE/ReAgent.xml.

Następnie system jest uruchamiany w środowisku WinRE, na przykład przez użycie opcji Shift + Restart. Według opisu badacza prawidłowe wykonanie tych czynności może doprowadzić do uruchomienia powłoki z dostępem do danych znajdujących się na woluminie chronionym przez BitLocker.

Kluczowy problem dotyczy zaufania, jakim środowisko odzyskiwania obdarza określone pliki konfiguracyjne obecne na partycji odzyskiwania. Jeśli komponent rozruchowy lub odzyskiwania interpretuje dostarczone ustawienia XML bez odpowiedniej walidacji integralności i pochodzenia, napastnik może przejąć kontrolę nad sekwencją działań wykonywanych w WinRE.

W takim modelu BitLocker nie zostaje złamany kryptograficznie. Ochrona jest omijana poprzez manipulację zaufaną ścieżką systemową działającą przed standardowym uwierzytelnieniem użytkownika. To ważne rozróżnienie, ponieważ pokazuje, że słabość może leżeć poza samym mechanizmem szyfrowania.

Jednocześnie pojawiły się zastrzeżenia dotyczące odtwarzalności ataku. Krytyczne komentarze wskazują, że samo uruchomienie WinRE może nie wystarczyć do wywołania wszystkich warunków niezbędnych do skutecznego wykorzystania GreatXML. W części środowisk wymagane może być wcześniejsze użycie Microsoft Defender Offline lub spełnienie dodatkowych warunków konfiguracyjnych.

Konsekwencje / ryzyko

Ryzyko związane z GreatXML należy rozpatrywać głównie w scenariuszu ataku lokalnego albo przy fizycznym dostępie do urządzenia. Jeśli napastnik może modyfikować zawartość partycji odzyskiwania i kontrolować restart do WinRE, potencjalnie zyskuje drogę do obejścia ochrony danych, które powinny być zabezpieczone przez BitLocker.

• Możliwy staje się odczyt danych z zaszyfrowanego woluminu bez standardowej autoryzacji użytkownika.
• Osłabieniu ulegają założenia bezpieczeństwa laptopów i stacji roboczych używanych w środowiskach firmowych.
• Rośnie ryzyko po kradzieży sprzętu lub po krótkim fizycznym dostępie insidera do urządzenia.
• Technika może być łączona z lokalną eskalacją uprawnień i innymi metodami post-exploitation.

Nie należy jednak przeceniać charakteru zagrożenia. GreatXML nie jest zdalnym exploitem umożliwiającym masową kompromitację przez sieć. To raczej narzędzie zwiększające skuteczność ataków ukierunkowanych, zwłaszcza tam, gdzie przeciwnik ma czas na manipulację środowiskiem startowym systemu.

Rekomendacje

Organizacje korzystające z BitLockera powinny potraktować GreatXML jako sygnał do przeglądu zabezpieczeń wokół procesu rozruchu i środowiska odzyskiwania, a nie wyłącznie samego szyfrowania dysku.

• Regularnie aktualizować system Windows oraz poprawki związane z BitLockerem, WinRE i Microsoft Defender.
• Ograniczyć możliwość lokalnej eskalacji uprawnień i ściśle kontrolować dostęp administracyjny.
• Monitorować integralność partycji odzyskiwania oraz plików wykorzystywanych przez WinRE.
• Rozważyć ograniczenie zbędnych funkcji odzyskiwania tam, gdzie polityka bezpieczeństwa na to pozwala.
• Stosować TPM, Secure Boot oraz polityki utrudniające nieautoryzowane uruchamianie środowisk serwisowych.
• Wzmocnić kontrolę fizycznego dostępu do urządzeń końcowych, szczególnie tych zawierających dane wrażliwe.
• Przeprowadzić testy laboratoryjne lub ćwiczenia red team, aby sprawdzić, czy konkretna konfiguracja Windows jest podatna na ten scenariusz.
• Ująć nadużycia WinRE i partycji recovery w procedurach reagowania na incydenty.

Z perspektywy SOC i zespołów bezpieczeństwa endpointów szczególnie ważne będzie wykrywanie nieautoryzowanych plików unattend.xml, nietypowych zmian w strukturze partycji recovery oraz anomalii związanych z uruchamianiem systemu w trybie odzyskiwania.

Podsumowanie

GreatXML pokazuje, że skuteczność ochrony danych zapewnianej przez BitLocker zależy nie tylko od samego szyfrowania, ale również od bezpieczeństwa komponentów pomocniczych, takich jak WinRE i mechanizmy odzyskiwania. Opisana technika nie oznacza kryptograficznego złamania BitLockera, lecz potencjalne obejście jego ochrony przez manipulację zaufanym środowiskiem rozruchowym.

Nawet jeśli praktyczna odtwarzalność ataku może zależeć od wersji systemu i spełnienia dodatkowych warunków, przypadek GreatXML stanowi wyraźne ostrzeżenie dla organizacji: bezpieczeństwo szyfrowania dysku jest tak silne, jak najsłabszy element całego łańcucha uruchamiania i odzyskiwania systemu.

Źródła

1. https://thehackernews.com/2026/06/new-greatxml-exploit-bypasses-windows.html
2. https://github.com/Nightmare-Eclipse/GreatXML
3. https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-offline
4. https://support.microsoft.com/windows/windows-recovery-environment-0eb14733-6301-41ac-b58f-fd4302f7e1c6
5. https://msrc.microsoft.com/update-guide/

Wprowadzenie do problemu / definicja

Microsoft naprawił problem wpływający na instalację aktualizacji Windows przy użyciu Windows Update Standalone Installer, czyli narzędzia WUSA. Usterka dotyczyła scenariuszy, w których administratorzy uruchamiali pakiety MSU z udziałów sieciowych, co miało szczególne znaczenie w środowiskach korporacyjnych oraz serwerowych.

Choć problem nie był klasyczną luką bezpieczeństwa, jego skutki mogły bezpośrednio wpływać na poziom ochrony organizacji. Jeżeli aktualizacje zabezpieczeń nie instalują się poprawnie, rośnie ryzyko pozostawienia systemów bez wymaganych poprawek.

W skrócie

Błąd wpływał na instalację aktualizacji wydanych od 28 maja 2025 roku i nowszych, jeśli były uruchamiane z lokalizacji sieciowej zawierającej wiele plików MSU. Problem obejmował systemy Windows 11 24H2, Windows 11 25H2 oraz Windows Server 2025.

Microsoft poinformował, że poprawka została dostarczona w czerwcowych aktualizacjach zbiorczych z 2026 roku. Do czasu pełnego wdrożenia zalecanym obejściem było lokalne zapisanie plików MSU i uruchamianie instalacji bezpośrednio z dysku urządzenia.

• problem dotyczył wdrożeń z udziałów sieciowych,
• nie obejmował pojedynczych lokalnych instalacji MSU,
• mógł prowadzić do błędnej oceny stanu aktualizacji,
• został usunięty w czerwcowym cyklu aktualizacji 2026.

Kontekst / historia

WUSA to natywne narzędzie systemu Windows służące do instalowania i odinstalowywania samodzielnych pakietów aktualizacji MSU z wykorzystaniem mechanizmów Windows Update Agent. W praktyce bywa ono szeroko wykorzystywane przez administratorów do ręcznych i półautomatycznych wdrożeń poprawek w środowiskach enterprise.

Microsoft wcześniej potwierdził istnienie problemu jako znanej usterki. Z opublikowanych informacji wynikało, że awaria nie występowała podczas instalacji pojedynczego pliku MSU ani wtedy, gdy pakiety były przechowywane lokalnie. Wskazywało to, że źródłem problemu nie była sama zawartość aktualizacji, lecz konkretny sposób ich uruchamiania z zasobów sieciowych.

W 2025 roku producent ograniczał skutki incydentu częściowo za pomocą mechanizmu Known Issue Rollback dla wybranych urządzeń domowych i niezarządzanych stacji biznesowych. Pełne usunięcie problemu dla wspieranych platform nastąpiło jednak dopiero wraz z czerwcowym cyklem Patch Tuesday w 2026 roku.

Analiza techniczna

Z technicznego punktu widzenia problem pojawiał się podczas instalacji aktualizacji za pomocą WUSA z udziału sieciowego zawierającego wiele plików MSU. W takich warunkach system mógł zwracać błąd ERROR_BAD_PATHNAME, co sugeruje nieprawidłową obsługę ścieżki lub kontekstu dostępu do plików podczas wywołania instalatora.

To ważne rozróżnienie operacyjne: organizacje mogły błędnie uznawać, że awarii ulega konkretna poprawka, podczas gdy rzeczywista przyczyna leżała w mechanizmie wdrożenia. Tego typu błędy są szczególnie problematyczne w środowiskach korzystających z udziałów SMB, skryptów administracyjnych i ręcznych repozytoriów aktualizacji.

Microsoft zwrócił również uwagę na aspekt diagnostyczny. Po restarcie systemu historia aktualizacji w ustawieniach mogła nie od razu odzwierciedlać faktyczny stan wdrożenia. Producent zalecał odczekanie co najmniej 15 minut przed ponowną weryfikacją statusu, co ma znaczenie dla zespołów oceniających powodzenie procesu patchowania.

Poprawka została uwzględniona w aktualizacjach zbiorczych dla wspieranych wersji Windows 11 oraz Windows Server 2025. Oznacza to konieczność przeglądu procedur operacyjnych wszędzie tam, gdzie WUSA pozostaje elementem procesu zarządzania poprawkami.

Konsekwencje / ryzyko

Choć problem nie prowadził bezpośrednio do wykonania kodu ani eskalacji uprawnień, miał istotny wymiar bezpieczeństwa. Nieudane wdrażanie aktualizacji bezpieczeństwa zwiększa bowiem okno ekspozycji na znane luki, szczególnie jeśli organizacja opiera część patch managementu na ręcznej dystrybucji pakietów MSU.

Największe ryzyko dotyczyło środowisk enterprise, centrów danych i administratorów Windows Server 2025, którzy używają udziałów sieciowych jako repozytoriów poprawek. W takim modelu błąd mógł prowadzić do niespójnego poziomu załatania i zakłóceń w procesach raportowania zgodności.

• opóźnienia w instalacji poprawek bezpieczeństwa,
• niespójność poziomu aktualizacji między hostami,
• błędna ocena zgodności środowiska,
• większe obciążenie zespołów IT i helpdesku,
• ryzyko przeoczenia nieudanych wdrożeń.

Dodatkowym zagrożeniem była możliwość uzyskania fałszywie pozytywnego obrazu sytuacji operacyjnej, jeśli organizacja opierała się wyłącznie na uproszczonej walidacji lub lokalnej historii aktualizacji. W efekcie część systemów mogła pozostawać niezałatana mimo pozornie wykonanego zadania administracyjnego.

Rekomendacje

Organizacje zarządzające środowiskami Windows powinny potraktować tę poprawkę jako element stabilizacji procesu patch management, a nie wyłącznie naprawę błędu funkcjonalnego. Kluczowe jest potwierdzenie, że systemy objęte problemem rzeczywiście otrzymały wymagane aktualizacje.

• wdrożyć czerwcowe aktualizacje zbiorcze z 2026 roku na wspieranych systemach,
• sprawdzić, czy od 28 maja 2025 roku stosowano instalacje MSU z udziałów sieciowych,
• przeprowadzić audyt logów instalacyjnych i statusu aktualizacji,
• weryfikować poziom patchingu niezależnie od samej historii aktualizacji w interfejsie systemu,
• w scenariuszach awaryjnych kopiować pliki MSU lokalnie przed uruchomieniem WUSA,
• zaktualizować runbooki, procedury utrzymaniowe i dokumentację operacyjną,
• testować proces wdrażania w środowisku przedprodukcyjnym.

Dobrą praktyką pozostaje również monitorowanie podobnych problemów w ekosystemie Windows Update, WSUS i narzędziach do zarządzania poprawkami. Pozwala to szybciej wykrywać błędy proceduralne, które nie są podatnościami, ale realnie obniżają poziom bezpieczeństwa organizacji.

Podsumowanie

Naprawa błędu WUSA przez Microsoft zamyka problem, który przez dłuższy czas utrudniał wdrażanie aktualizacji Windows z udziałów sieciowych. Incydent pokazuje, że nawet usterki operacyjne niezwiązane bezpośrednio z exploitem mogą istotnie osłabiać bezpieczeństwo, jeśli zakłócają proces aktualizacji systemów.

Dla zespołów IT, administratorów i SOC najważniejsze jest obecnie potwierdzenie, że urządzenia objęte problemem zostały skutecznie załatane. W praktyce oznacza to potrzebę audytu, weryfikacji zgodności oraz ewentualnej korekty procedur aktualizacyjnych.

Źródła

• https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-update-failures-linked-to-wusa-installer/
• https://support.microsoft.com/
• https://support.microsoft.com/
• https://learn.microsoft.com/windows/release-health/
• https://learn.microsoft.com/windows/release-health/known-issue-rollbacks