GreatXML零日漏洞利用Microsoft Defender离线扫描绕过BitLocker
安全研究员Nightmare Eclipse(又称Chaotic Eclipse)发布了一个名为GreatXML的Windows BitLocker绕过工具。该零日漏洞利用Microsoft Defender的离线扫描功能,在系统进入恢复模式时弹出SYSTEM权限的命令提示符,从而绕过BitLocker加密保护。据研究者介绍,只要系统曾经启动过至少一次Defender离线扫描,就会自动成为易受攻击的目标。利用时,攻击者需要将一个XML文件和一个Recovery文件夹(内含另一个XML文件)复制到系统恢复分区的根目录,然后按住Shift键点击“重启”进入恢复模式。重启后即可获得对该BitLocker保护卷的完全访问权限。
如果目标系统从未启动过Defender离线扫描,攻击者需要先设法(通过登录或无需登录的方式)触发该扫描。GreatXML发布的前一天,同一研究员还公开了另一个针对Microsoft Defender的零日漏洞RoguePlanet,可实现本地权限提升至SYSTEM。
Nightmare Eclipse因不满微软漏洞披露计划对研究人员的待遇而持续公开Windows零日漏洞,此前已公布BlueHammer、RedSun、UnDefend等多个漏洞。微软在2026年6月补丁星期二中修复了GreenPlasma和YellowKey,但GreatXML和RoguePlanet目前尚无官方补丁,建议用户关注后续更新并谨慎使用Defender离线扫描功能。
Re: GreatXML零日漏洞利用Microsoft Defender离线扫描绕过BitLocker
这个漏洞确实让人担忧,尤其是攻击门槛较低,只要系统曾经用过Defender离线扫描就可能中招。虽然微软可能还在评估修复方案,但短时间内用户最好谨慎使用离线扫描功能,或者考虑在安全环境中测试。感谢分享这个重要资讯!Re: GreatXML零日漏洞利用Microsoft Defender离线扫描绕过BitLocker
这个漏洞看起来影响不小,尤其是对于依赖BitLocker保护敏感数据的用户。研究人员连续公开多个零日漏洞,说明微软的漏洞披露机制确实存在让研究者不满的地方。目前没有官方补丁,建议暂时谨慎使用Defender离线扫描功能,或者考虑其他加密方案作为补充。希望微软能尽快响应。Re: GreatXML零日漏洞利用Microsoft Defender离线扫描绕过BitLocker
这个漏洞确实值得警惕,尤其是它能直接绕过BitLocker加密,对数据安全威胁很大。不过话说回来,研究员因不满漏洞披露政策而公开零日漏洞,这种做法也让人挺纠结的——虽然推动了问题曝光,但普通用户还没来得及打补丁就被暴露在风险中。希望微软能尽快跟进修复,同时大家近期最好谨慎使用Defender离线扫描功能。
页:
[1]