El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) lanzó una nueva derivación de BitLocker de Windows llamada GreatXML, un día después de publicar un exploit para Microsoft Defender.
«Este fue un descubrimiento accidental y tomó un total de cuatro horas descubrirlo», dijo el investigador en una publicación de Blogger. «Si intenta utilizar el escaneo sin conexión de Windows Defender, automáticamente se vuelve vulnerable a la omisión de BitLocker. No sabemos si es posible introducir el error sin usar la función de escaneo sin conexión, porque definitivamente es posible usar la función de escaneo sin conexión».
Este exploit funciona de la siguiente manera.
Copie la carpeta de recuperación que contiene el archivo XML (‘unattend.xml’) y otro archivo XML (‘Recovery/WindowsRE/ReAgent.xml’) a la raíz de la partición de recuperación. Reinicie el Entorno de recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús y haciendo clic en (Reiniciar) en el menú de energía de Windows.
Si sigues todos los pasos correctamente, generarás un shell con acceso ilimitado a tu volumen BitLocker.
«Si el análisis fuera de línea de Defender no se inicia, debe iniciar sesión e iniciar el análisis usted mismo, o encontrar una manera de iniciar WinRE en un estado de análisis fuera de línea (creo que es muy posible hacerlo sin iniciar sesión) y seguir los pasos anteriores», señaló Chaotic Eclipse.
El lanzamiento de GreatXML llega inmediatamente después de RoguePlanet, una falla de día cero en Microsoft Defender que facilita la escalada de privilegios locales (LPE) al SISTEMA, brindando a un atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.
GreatXML es también el segundo bypass de BitLocker lanzado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), un parche lanzado por Microsoft esta semana como parte de su actualización del martes de parches.
Source link
