Всего через день после того, как поссорившийся с Microsoft исследователь безопасности Chaotic Eclipse заявил, что разработка опубликованного во вторник эксплойта для Defender под названием Rogueplanet «полностью его истощила», исследователь снова взялся за дело. С помощью GreatXML он опубликовал очередной эксплойт, который, как утверждается, снова позволяет обойти программу шифрования Microsoft Bitlocker.
Эксплойт GreatXML доступен как на GitHub (открывается в новом окне), так и на двух (открывается в новом окне) не контролируемых Microsoft платформах (открывается в новом окне). Таким образом, Chaotic Eclipse гарантирует, что его утечки останутся в сети, даже если Microsoft снова заблокирует его учетную запись на GitHub, как это уже было в мае.
Атака через автономное сканирование Defender
По имеющимся данным, GreatXML работает только в том случае, если на целевой системе в какой-либо момент времени проводилось автономное сканирование с помощью Microsoft Defender (открывается в новом окне). Если это условие выполнено, данная система считается уязвимой. Однако, как правило, злоумышленник не может самостоятельно создать такое состояние. Для этого ему нужно было бы войти в зашифрованную систему, после чего он в любом случае смог бы прочитать данные. В таком случае эксплойт был бы излишним.
Согласно Chaotic Eclipse, после автономного сканирования злоумышленнику для использования GreatXML нужно лишь скопировать файл unattend.xml и каталог Recovery из репозитория эксплойта в корневой каталог раздела восстановления.
После этого, как утверждается, достаточно перезагрузиться в среду восстановления Windows (WinRE). «Если все сделано правильно, будет запущена оболочка с неограниченным доступом к тому Bitlocker», — говорится в описании эксплойта.
Все не так просто
Исследователь безопасности Уилл Дорманн, согласно сообщению в Mastodon (открывается в новом окне), не смог воспроизвести атаку в описанной форме при собственных тестах на нескольких системах с Windows 11. Он полагает, что данные Chaotic Eclipse неполны. Только после второго автономного сканирования, проведенного после внедрения файлов эксплойта в раздел WinRE, Дорманну удалось разблокировать зашифрованный диск.
Таким образом, злоумышленнику пришлось бы сначала вернуть украденное целевое устройство своей жертве после применения GreatXML и побудить ее выполнить автономное сканирование, чтобы затем снова забрать устройство и получить доступ к зашифрованным данным. Если Дорманн ничего не упустил, атака была бы значительно более трудоемкой, чем описывает ее Chaotic Eclipse.
Как пишет Chaotic Eclipse в своем блоге (открывается в новом окне), эксплойт GreatXML был «случайным открытием», на которое у него ушло всего около четырех часов. Он предполагает, что атака в принципе возможна и без предварительного автономного сканирования. Однако, по словам исследователя, он «в настоящее время недостаточно заинтересован», чтобы заниматься этим.