返回
快讯

GreatXML 利用恢复分区 XML 绕过 BitLocker

研究员 Chaotic Eclipse 发布名为 GreatXML 的 Windows BitLocker bypass,称可通过在恢复分区放置两个 XML 文件并进入 WinRE 获取对 BitLocker 卷的不受限 shell。作者与其他研究员对复现前提存在分歧;Microsoft 表示已知悉并正在调查。

CVE-2026-45585

安全研究员 Chaotic Eclipse(又名 Nightmare-Eclipse 和 MSNightmare)在发布一项 Microsoft Defender 的 exploit 一天后,又公布了一种新的 Windows BitLocker bypass,代号 GreatXML。

这名研究员在 Blogger 的一篇帖子中表示:“这是一个意外发现,我总共只用了 4 个小时就找到它。如果你曾经尝试使用 Windows Defender Offline Scan,你就会自动处于易受 BitLocker bypass 影响的状态。我不确定在从未使用过 offline scan 功能的情况下是否还能触发这个 bug,不过你肯定可以。”

该 exploit 的工作方式如下:

将一个 XML 文件(“unattend.xml”)和一个包含另一个 XML 文件(“Recovery/WindowsRE/ReAgent.xml”)的 recovery folder 复制到 recovery partition 的根目录。

按住 Shift 的同时点击 Windows 电源菜单中的 Restart,以重启进入 Windows Recovery Environment(WinRE)。

如果每一步都正确执行,结果将是启动一个 shell,并对 BitLocker 卷拥有不受限的访问权限。

Chaotic Eclipse 指出:“如果 Defender offline scan 从未被启动过,那么你必须先登录并自行启动它,或者想办法在 offline scan 状态下 boot 进入 WinRE(我认为在不登录的情况下这样做应该是完全可行的),然后执行上面的步骤。”

安全研究员 Will Dormann 在 Mastodon 上发帖表示,复现 GreatXML 的步骤“有缺陷”,并补充说,触发 Microsoft Defender Offline Scan 需要用户既已登录 Windows,又拥有 admin credentials,而在这种情况下,直接关闭 BitLocker 就很容易。

Dormann 进一步表示:“GreatXML 的说明写得像是前提条件是 Windows Defender Offline 曾在过去某个时间点执行过。然后只要在 WinRE 中植入两个文件,再 [Shift]-reboot 进入 WinRE,Windows 就会自动进入 Microsoft Defender Offline scan mode。但根据我手头的 3 条 Win11 版本谱系,这并不是事实。”

GreatXML 的发布距离 RoguePlanet 的出现并不久;RoguePlanet 是 Microsoft Defender 中的一个 zero-day flaw,可用于 local privilege escalation(LPE)到 SYSTEM,从而让攻击者能够运行 arbitrary code 或执行未经授权的操作。

GreatXML 也是 Chaotic Eclipse 发布的第二个 BitLocker bypass,此前的 YellowKey(又名 CVE-2026-45585)补丁已于本周随 Microsoft 的 Patch Tuesday updates 一同发布。

更新

应要求置评时,Microsoft 发言人向 The Hacker News 提供了以下声明:

Microsoft 已知悉所报告的漏洞,并正在积极调查这些说法的有效性及潜在适用性。Microsoft 致力于调查安全问题,并尽快更新受影响产品以保护客户。重要的是,我们支持协调漏洞披露,这是一项行业标准,旨在通过确保研究发现在公开之前得到彻底调查和处理,从而保护客户并支持研究社区。

(本文在 2026 年 6 月 16 日发布后已更新,加入了 Microsoft 的回应。)