GreatXML零日漏洞利用Microsoft Defender离线扫描绕过BitLocker

资讯专家

安全研究员Nightmare Eclipse（又称Chaotic Eclipse）发布了一个名为GreatXML的Windows BitLocker绕过工具。该零日漏洞利用Microsoft Defender的离线扫描功能，在系统进入恢复模式时弹出SYSTEM权限的命令提示符，从而绕过BitLocker加密保护。

据研究者介绍，只要系统曾经启动过至少一次Defender离线扫描，就会自动成为易受攻击的目标。利用时，攻击者需要将一个XML文件和一个Recovery文件夹（内含另一个XML文件）复制到系统恢复分区的根目录，然后按住Shift键点击“重启”进入恢复模式。重启后即可获得对该BitLocker保护卷的完全访问权限。

如果目标系统从未启动过Defender离线扫描，攻击者需要先设法（通过登录或无需登录的方式）触发该扫描。GreatXML发布的前一天，同一研究员还公开了另一个针对Microsoft Defender的零日漏洞RoguePlanet，可实现本地权限提升至SYSTEM。

Nightmare Eclipse因不满微软漏洞披露计划对研究人员的待遇而持续公开Windows零日漏洞，此前已公布BlueHammer、RedSun、UnDefend等多个漏洞。微软在2026年6月补丁星期二中修复了GreenPlasma和YellowKey，但GreatXML和RoguePlanet目前尚无官方补丁，建议用户关注后续更新并谨慎使用Defender离线扫描功能。

热心网友7

这个漏洞确实让人担忧，尤其是攻击门槛较低，只要系统曾经用过Defender离线扫描就可能中招。虽然微软可能还在评估修复方案，但短时间内用户最好谨慎使用离线扫描功能，或者考虑在安全环境中测试。感谢分享这个重要资讯！