Експлойт GreatXML дозволяє обійти захист BitLocker
Конфлікт між незалежними фахівцями з кібербезпеки та корпорацією Microsoft перейшов у гарячу фазу. Після офіційних юридичних погроз з боку Редмонда та травневого блокування профілів на GitHub, відома дослідниця під псевдонімом Chaotic Eclipse здійснила ультимативний крок у відповідь. 10 червня вона опублікувала вихідний код нового експлойту GreatXML, який дозволяє обійти фірмову систему шифрування дисків Microsoft BitLocker.
Щоб запобігти видаленню контенту цензурою Microsoft, код GreatXML був одночасно завантажений на GitHub та дві інші незалежні децентралізовані платформи, які перебувають поза юридичним та технічним контролем американської корпорації.
За заявою автора, вразливість GreatXML була виявлена випадково всього за чотири години досліджень після виснажливої роботи над попереднім експлойтом Rogueplanet Defender.
Концептуальний ланцюжок атаки від Chaotic Eclipse:
Передумова: Цільова операційна система Windows має попередньо пройти процедуру офлайн-сканування (Offline Scan) за допомогою штатного антивірусу Microsoft Defender.
Модифікація WinRE: Зловмисник, маючи доступ до зашифрованої системи, копіює спеціальний конфігураційний файл unattend.xml та каталог відновлення з бази даних вразливостей безпосередньо до кореневого каталогу розділу відновлення Windows (WinRE).
Результат: Під час наступного перезавантаження системи в середовище WinRE автоматично ініціюється командна оболонка (Shell) з необмеженими правами доступу (Root/SYSTEM) до зашифрованого тому BitLocker, повністю ігноруючи криптографічний захист.
Публікація експлойту викликала жорстку дискусію в професійному середовищі. Відомий експерт із кібербезпеки Вілл Дорманн (Will Dormann) провів серію незалежних тестів на багатьох збірках Windows 11 і спочатку не зміг відтворити злом за інструкцією Chaotic Eclipse.
Дорманн дійшов висновку, що первинна документація до GreatXML була неповною, а реальний ланцюжок виконання атаки (Exploit Chain) є набагато складнішим та вимагає специфічного алгоритму дій:
Це означає, що зловмиснику потрібен тривалий повторний доступ до фізичного заліза, а сама атака переходить у розряд складних цільових операцій інсайдерського класу (Evil Maid Attack). Сама Chaotic Eclipse у власному блозі визнала, що ланцюжок можна оптимізувати й без участі жертви, проте заявила, що «втратила інтерес до продуктів Microsoft» і не планує продовжувати дослідження. Редмонд, своєю чергою, заявив, що інженерну проблему вразливості вже взято в роботу для випуску екстреного патчу безпеки.
Для HiTech Expert ми робимо важливий інфраструктурний висновок: історія з GreatXML — це класичний b2b-маркер того, як агресивна юридична політика Big Tech-корпорацій щодо білих хакерів (White Hats) дає зворотний ефект («ефект Стрейзанд»). Намагаючись залякати дослідників судами та банами акаунтів, Microsoft спровокувала хвилю неконтрольованого зливу критичних PoC-експлойтів на незалежні платформи типу Mirror/Tor.
З технічної точки зору, хоча Вілл Дорманн і довів складність практичного виконання атаки GreatXML в реальних умовах, сам факт використання вразливостей усередині середовища WinRE та логіки Microsoft Defender — це серйозний дзвіночок для корпоративного сектора. Компрометація BitLocker через базові інструменти відновлення ОС доводить: закрита архітектура Windows досі має фундаментальні діри в логіці взаємодії зашифрованого ядра та передзавантажувальних зон. Для українських підприємств та GovTech-сектору, який зараз будує захищені цифрові платформи, це чітке нагадування: шифрування BitLocker не є абсолютною панацеєю і вимагає додаткових апаратних контурів захисту, таких як суворі політики паролів на рівні UEFI/TPM та обмеження фізичного доступу до портів пристроїв.
- Останні
- Популярні
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- Червень, 11
-
-
-
Новини по днях
12 червня 2026
